Ich hab hier nen Laptop von einer Bekannten stehen, der mich rätseln lässt.

Sie brachte ihn mir, weil er knapp 10 Minuten bis zum Start braucht und irgendein privater, wichtiger Ordner, der vorher auf dem Desktop war, verschwunden ist.
Sie meinte es sei ein Virus drauf.

Ich hab den Lappi gestartet. Mit meinem W-Lan verbunden, vebrindung steht, jedoch kann ich nicht auf's Internet zugreifen.

Auch ist das installierte AntiVir deaktiviert, es lässt sich auch nicht aktivieren.

Dann hab ich ne Rescue Disc von AntiVir beim Boot gestartet. Mehrere Trojaner wurden entdeckt und gelöscht.

Nun ist das System immer noch langsam, AntiVir weiterhin deaktiviert und W-Lan klappt auch nicht.
Außerdem funktioniert nun das Touchpad nicht mehr sowie die Tastatur.

Deshalb habe ich zusätzlich Avast installiert, laufen lassen und 1 Rootpaket entfernen lassen (mehr Funde gab es nicht mehr).

Ich habe von OTL die Scan-Logs angehangen, jedoch bricht GMER immer mit der Win-Meldung "xxxxx.exe funktioniert nicht mehr".

Ich hoffe Ihr könnt mir helfen.

Zitat:

Ich hab den Lappi gestartet. Mit meinem W-Lan verbunden, vebrindung steht, jedoch kann ich nicht auf's Internet zugreifen.

Prüfen => http://www.trojaner-board.de/94344-p...n-pruefen.html

Zitat:

Mehrere Trojaner wurden entdeckt und gelöscht.

Damit kann man nichts anfangen. Man muss schon genau wissen was genau und wo.

Zitat:

Deshalb habe ich zusätzlich Avast installiert, laufen lassen und 1 Rootpaket entfernen lassen (mehr Funde gab es nicht mehr).

Auch zu ungenau. Log nachreichen.

Ich hab mir bei der Rescue CD die Trojane rnicht notiert da ich dachte, dass es damit gegessen sei.
Genauso war es bei Avast, da habe ich keine Log Datei.

Erst danach habe ich den Weg über Google in dieses Forum gefunden.

Beim Internet habe ich nun entdeckt, dass der Laptop nur lokalen Zugriff hat, also liegt es gar nicht an den Einstellungen der Browser.

Tut mir Leid dass ich nichts fundierteres bieten kann.

Ach ja, beim Start wird immer angezeigt, dass eine lvvm.exe nicht mehr vorhanden wäre. Laut Google ist das wohl irgendwas virusähnliches?

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Da das Internet weder per Lan noch per W-Lan funzt, kann ich ESET leider nicht ausführen.

Hier der bericht von Anti-Malware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7622

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

21.12.2011 19:36:36
mbam-log-2011-12-21 (19-36-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 210465
Laufzeit: 5 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WY7I7JZFUGVX6E1WKHZZSEAAPY (Trojan.Agent) -> Value: WY7I7JZFUGVX6E1WKHZZSEAAPY -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\svchost.exe\2608df01b22.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         

Hab das Programm nun offline geupdatet und nochmal laufen lassen.

Hier die Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7622

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

21.12.2011 19:50:31
mbam-log-2011-12-21 (19-50-31).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 217908
Laufzeit: 6 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3AE.exe (Backdoor.CycBot.Gen) -> Value: 3AE.exe -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\Margit_2\m-1-25-5432-6437-5685 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Datenbank Version: 7622

Nö, das war ein Satz mit X...wiederhol das Update.
Aktuell ist nun => 911122105

jo, für die neuste programmversion gibbet kein offline-update -_-

Zitat:

also liegt es gar nicht an den Einstellungen der Browser.

Ja, aber prüfen was in dem Artikel steht solltest du schon!
Und ggf. mal im abgesicherten Modus mit Netzwerktreibern starten!

Das habe ich ja geprüft

Abgesicherter Modus mit Nw-Treibern mach ich gleich. Hab grad wieder mal ne Runde AntiVir am laufen.

Zitat:

Hab grad wieder mal ne Runde AntiVir am laufen.

Ähm, mach bitte erstmal die Scans die ich auftrage. Ich mag das nicht wenn du nebenbei irgendwas machst wovon ich nichts wissen kann.

Nee, da hab ich auch nur lokalen Zugriff

Dann springen wir mal zu CF

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

ok, melde mich morgen wieder.

danke schon mal.