Hallo, ich lese schon seit einigen Tagen hier im Forum und im Internet habe bereits versucht das von Avira gefundene Backdoorprogramm wie auch den Trojaner zu löschen ohne meine Festplatte neu zu formatieren, aber selbst das habe ich nicht hinbekommen.

Mein Antivir schmeißt mir ständig die Fenster auf mit folgenden Hinweisen:
In der Datei 'C:\Programme\LP\8AD3\E9B.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.49444.10' [trojan] gefunden.
n der Datei 'C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\320D1\AE28A.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Cycbot.G.95' [backdoor] gefunden.

Es ist nicht möglich mit dem Antivir eines der beiden zu löschen zu verschieben oder sonstige Aktionen durchzuführen, auch als ich versucht habe es irgendwie auf dem Pfad zu finden und zu löschen funktioniert das nicht. Das Backdoorprogramm habe ich nicht gefunden und der "LP-Ordner" mit dem Trojaner ist schreibgeschützt so dass ich hier nicht zugreifen kann.

Ich habe bereits für mich wichtige Daten auf eine externe Festplatte gespeichert so dass ich für alles bereit bin damit ich das System wiederherstellen kann, auch das habe ich versucht mit einem alten Task. Das System konnte nicht verändert werden.
Da ich hier mit vielen Fachbegriffen nichts anfangen kann, geschweige denn weiß wie man mit dem Formatieren vorgeht bitte ich um eure Hilfe.
Ich habe allerdings versucht mit der rechten Maustaste auf Arbeitsplatz - C - formatieren zu klicken, aber auch das wurde nicht ausgeführt. Könnt ihr mit weiterhelfen?

Vielen Dank im Voraus!
poppyred

Zitat:

Ich habe allerdings versucht mit der rechten Maustaste auf Arbeitsplatz - C - formatieren zu klicken, aber auch das wurde nicht ausgeführt. Könnt ihr mit weiterhelfen?

Sowas kann auch nicht funktionieren! Windows kann sich doch nicht selbst den Boden unter den Füßen wegformatieren!
Was willst du jetzt machen, bereinigen oder komplett alles neu installieren?

Hallo, ich habe mir Malwarebites runtergeladen und den CCleaner und alles laufen lassen. Kann es sein dass durch Malwarebites tatsächlich alles gelöscht wurde? Denn Antivir zeigt mir nichts mehr an?

Kann ich dem trauen oder nicht?

LG
Poppy

Zitat:

Kann ich dem trauen oder nicht?

Keine Bereinigung kann immer garantieren, dass alle schädlichen Dateien weg sind! Es gibt auch keine Virenscanner diezu 100% alle schädlichen Dateien erkennen!

Und wenn du nichtmal das Log von Malwarebytes postest, kann ich erst recht keine Aussage machen bzw. Einschätzung geben

Hallo Arnne,

tut mir leid, ich bin mir nicht sicher ob du das mit dem Log meinst?

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.24.05

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Melanie :: JOELLE [Administrator]

28.12.2011 15:35:45
mbam-log-2011-12-28 (15-35-45).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 164357
Laufzeit: 26 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7E66936C-FEA0-4984-AD26-7B6661AC5B2E} (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Daten: http=127.0.0.1:64848 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|E9B.exe (Backdoor.CycBot) -> Daten: C:\Programme\LP\8AD3\E9B.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\LP\8AD3\E9B.exe (Backdoor.CycBot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Das war unter den Logdateien von Malwarebites.... oder meinst du was anderes? Falls ja bräuchte ich leider genaue Anweisung weil ich nicht weiß wo ich sonst was finde ... sorry

Gruß
Mel

Zitat:

Art des Suchlaufs: Quick-Scan

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Hallo Arne,

vielen Dank für die Hilfe und die Mühe. Habe den Vollscan laufen lassen und folgendes wurde gefunden:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.30.03

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Melanie :: JOELLE [Administrator]

Schutz: Aktiviert

31.12.2011 10:55:53
mbam-log-2011-12-31 (10-55-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 231634
Laufzeit: 1 Stunde(n), 40 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
c:\system volume information\_restore{f0ba463b-75a5-41d6-a0d6-9974e0302d48}\rp1167\a0393603.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
c:\system volume information\_restore{f0ba463b-75a5-41d6-a0d6-9974e0302d48}\rp1163\a0388285.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
c:\system volume information\_restore{f0ba463b-75a5-41d6-a0d6-9974e0302d48}\rp1165\a0388972.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Viele Grüße und einen guten Rutsch ins Neue Jahr :-)

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

vielen Dank. Leider lass ich diesen Scanner nun zum 3x laufen weil mir der Laptop irgendwann einfach ausgeht, das letzte mal bei 91 %. Erstellt es mir trotzdem einen Report?

Liebe Grüße
Mel

Hallo Arne,

leider hat auch der 3. Versuch mit dem Scanner nicht funktioniert, irgendwann schaltet mein Laptop einfach aus, was soll ich jetzt machen bzw. heißt das, dass bereits etwas so geschädigt ist dass der Scanner nicht mehr alles durchlaufen kann?

Liebe Grüße
Mel

Probier den Scan dann bitte im abgesicherten Modus mit Netzwerktreibern aus.



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo Arne,

schön langsam wirds peinlich
also ich habe den PC so gestartet auch kam das Fenster für diese Auswahl und ich habe den abgesicherten Modus gewählt, dann kam ein weiteres Fenster in dem ich "Windows Home XP" starten auswählen musste um fortzufahren..........ich habe einige Zeit gewartet aber der Bildschirm blieb schwarz.

Hab ich was falsch gemacht oder muss ich noch etwas anderes auswählen?

Gruß
Mel

Probiers ncohmal. Und nicht den einfachen abgesicherten Modus sondern den mit Netzwerktreibern nehmen!

Guten Morgen Arne,

ich habe den abgesicherten Modus mit Netzwerkbetreibern gewählt. Aber ich werde es heute wenn ich wieder zu Hause bin erneut versuchen.

Gruß
Mel

Hallo Arne,

heute habe ich es erneut versucht und der Laptop hat sogar gestartet wie gewünscht in dem abgesicherten Modus Netzwerkbetreiber - ABER er ist wieder bei dem Scan bei 98 % sofort ausgegangen. Was soll ich jetzt machen? Werde mal die externe Festplatte wegnehmen aber da könnte ja auch noch was drauf sein oder?

Gruß
Mel