Hallo Gemeinde bitte helft mir weiter, ich bin hier am verzweifeln.

Sitze am Lapto, Visat 32 bit, und komme an dieser Sperre nur noch im abgesicherten Modus vorbei.

Ich hab schon versucht dieses OTL Tool im abgesicherten Modus zu installieren, leider findet das Setup den MSI Installer nicht.

Was kann ich jetzt machen, neuregistriert habe ich ihn schon, das hilft nicht!

Hilfe!!!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

ok bin im abgesicherten Modus und hab Webzugriff, läuft aller perfekt

Danke dir für deine Antwort, fühle mich gerade sehr hilflos!!!

markus

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo,

mein erster Scan hat folgendes ergeben:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.04

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
markus :: MARKUS-PC [Administrator]

Schutz: Deaktiviert

06.02.2012 20:18:57
mbam-log-2012-02-06 (20-18-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 658625
Laufzeit: 2 Stunde(n), 25 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\markus\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Users\markus\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

========================================================

Danach konnte ich im Normalmodus erneut eine Scan starten:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
markus :: MARKUS-PC [Administrator]

Schutz: Aktiviert

06.02.2012 23:16:16
mbam-log-2012-02-06 (23-16-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 568189
Laufzeit: 4 Stunde(n), 49 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


=======================================================

Zur Sicherheit noch meinen Avira Vollscan:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Februar 2012 07:07

Es wird nach 3271308 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MARKUS-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 06:32:49
AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 06:32:49
LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 06:32:49
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 06:32:51
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 13:47:00
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:19:40
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:11:05
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:15:24
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 17:15:27
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 17:15:27
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 17:15:27
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 17:15:27
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 17:15:27
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 17:15:27
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 17:15:27
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 17:15:27
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 17:15:27
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 17:15:28
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 17:15:29
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 17:15:30
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 17:15:30
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 17:15:31
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 17:15:34
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 17:15:34
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 17:15:35
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 17:15:35
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 17:15:36
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 17:15:36
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 17:15:36
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 17:15:38
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 17:15:39
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25.01.2012 17:15:40
VBASE027.VDF : 7.11.21.157 2048 Bytes 25.01.2012 17:15:41
VBASE028.VDF : 7.11.21.158 2048 Bytes 25.01.2012 17:15:41
VBASE029.VDF : 7.11.21.159 2048 Bytes 25.01.2012 17:15:41
VBASE030.VDF : 7.11.21.160 2048 Bytes 25.01.2012 17:15:41
VBASE031.VDF : 7.11.21.161 2048 Bytes 25.01.2012 17:15:41
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 27.10.2011 17:33:35
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 25.01.2012 17:15:51
AESCN.DLL : 8.1.8.1 127348 Bytes 25.01.2012 17:15:50
AESBX.DLL : 8.2.4.5 434549 Bytes 06.12.2011 20:01:18
AERDL.DLL : 8.1.9.15 639348 Bytes 13.09.2011 18:19:23
AEPACK.DLL : 8.2.16.1 799094 Bytes 25.01.2012 17:15:50
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 25.01.2012 17:15:49
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 25.01.2012 17:15:49
AEHELP.DLL : 8.1.19.0 254327 Bytes 25.01.2012 17:15:43
AEGEN.DLL : 8.1.5.17 405877 Bytes 13.12.2011 21:12:09
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 07:58:17
AECORE.DLL : 8.1.25.2 201079 Bytes 25.01.2012 17:15:42
AEBB.DLL : 8.1.1.0 53618 Bytes 25.11.2010 07:58:17
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 06:32:49
AVREP.DLL : 10.0.0.10 174120 Bytes 23.05.2011 17:35:57
AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 06:32:49
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 06:32:49
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 06:32:49
RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 06:32:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 7. Februar 2012 07:07

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1870036415-1963762114-4061798179-1000\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1870036415-1963762114-4061798179-1000\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'VUAgent.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'NSUService.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMSFilter.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'taxaktuell.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMpTtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'LANUtil.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'psqltray.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMService.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'upeksvr.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1337' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-1870036415-1963762114-4061798179-1001\$RGL3RUT.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Flood.C
C:\Users\markus\AppData\Local\Temp\Temp1_tdsskiller.zip\TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\88743cf-52b8c8f7
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.AN
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\7560f91-60a6a805
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BG.6
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\4cd19764-7c94c022
[0] Archivtyp: ZIP
--> prev/monoid.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Applet.K
--> starter/gromozapa.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.R
--> starter/reverberator.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\58ec35a7-508fc352
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.F
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\228a09a8-141de1e9
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
C:\Users\markus\Downloads\tdsskiller(1).zip
[0] Archivtyp: ZIP
--> TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\Users\markus\Downloads\tdsskiller.zip
[0] Archivtyp: ZIP
--> TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\Users\markus\Downloads\tdsskiller\TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\markus\Downloads\tdsskiller\TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4adab8.qua' verschoben!
C:\Users\markus\Downloads\tdsskiller.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52fdf5ff.qua' verschoben!
C:\Users\markus\Downloads\tdsskiller(1).zip
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00a2af17.qua' verschoben!
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\228a09a8-141de1e9
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6658e004.qua' verschoben!
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\58ec35a7-508fc352
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2323cd30.qua' verschoben!
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\4cd19764-7c94c022
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c3bff8a.qua' verschoben!
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\7560f91-60a6a805
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BG.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1071d31e.qua' verschoben!
C:\Users\markus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\88743cf-52b8c8f7
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6c66934b.qua' verschoben!
C:\Users\markus\AppData\Local\Temp\Temp1_tdsskiller.zip\TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41d0bc32.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1870036415-1963762114-4061798179-1001\$RGL3RUT.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Flood.C
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '584487b7.qua' verschoben!


Ende des Suchlaufs: Dienstag, 7. Februar 2012 20:01
Benötigte Zeit: 3:08:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

47748 Verzeichnisse wurden überprüft
1191978 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1191966 Dateien ohne Befall
17837 Archive wurden durchsucht
0 Warnungen
12 Hinweise
971695 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

======================================================


Heute versuche ich den Online Scan, gibt es schon Tipps für mich?

Das System läuft ohne Probleme!

Zitat:

[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\Users\markus\Downloads\tdsskiller\TDSSKiller.exe

Was hast du schon mit dem TDSS-Killer gemacht? Log dazu?
das ist übrigens ein Fehlalarm!

Hallo,

der TDSS Killer hat 3 gefunden aber das hat nichts gebracht:

Code: Alles auswählenAufklappen

ATTFilter

19:54:53.0482 3692	TDSS rootkit removing tool 2.7.9.0 Feb  1 2012 09:28:49
19:54:53.0555 3692	============================================================
19:54:53.0555 3692	Current date / time: 2012/02/06 19:54:53.0555
19:54:53.0555 3692	SystemInfo:
19:54:53.0555 3692	
19:54:53.0555 3692	OS Version: 6.0.6002 ServicePack: 2.0
19:54:53.0555 3692	Product type: Workstation
19:54:53.0555 3692	ComputerName: MARKUS-PC
19:54:53.0555 3692	UserName: markus
19:54:53.0555 3692	Windows directory: C:\Windows
19:54:53.0555 3692	System windows directory: C:\Windows
19:54:53.0555 3692	Processor architecture: Intel x86
19:54:53.0555 3692	Number of processors: 2
19:54:53.0555 3692	Page size: 0x1000
19:54:53.0555 3692	Boot type: Safe boot with network
19:54:53.0555 3692	============================================================
============================================================
19:58:18.0880 1340	Scan finished
19:58:18.0880 1340	============================================================
19:58:18.0884 0728	Detected object count: 3
19:58:18.0885 0728	Actual detected object count: 3
19:58:30.0915 0728	C:\Windows\system32\drivers\avmeject.sys - copied to quarantine
19:58:30.0916 0728	avmeject ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 
19:58:30.0978 0728	C:\Windows\system32\Drivers\CVPNDRVA.sys - copied to quarantine
19:58:30.0978 0728	CVPNDRVA ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 
19:58:31.0266 0728	C:\Windows\system32\DRIVERS\NETw5v32.sys - copied to quarantine
19:58:31.0267 0728	NETw5v32 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 
19:58:37.0103 3688	Deinitialize success
         

Genau deswegen solltest du nicht einfach irgendwas ohne Anweisung ausführen, du hast da blind einfach alles in die Q verschoben, dabei waren das legitime Einträge!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bei mir läuft gerade noch dieser Online Scan, einen Thread hat er angezeigt.

Soll ich ihn abwarten?

Achja, ESET steht ja auch noch an
Hab ich ganz vergessen in der Aufregung um den TDSSKiller
Mach erstmal ESET zu Ende in Ruhe

Ok mache ich, der zeigt auhc schon wieder 5 Funde an, das macht nicht gerade mutig.
Ich hab die TDDS Quarantäne noch auf der Platte finde aber kein Option sie wieder herstellen zu können

Ja die Tools verleiten zu schnell zum löschen

Hallo,

ESET Lauf ist durch:

Code: Alles auswählenAufklappen

ATTFilter

 

SETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=341541d7f6abf84280c3b3605bb2bda7
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-07 10:40:15
# local_time=2012-02-07 11:40:15 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 3833 103542287 0 0
# compatibility_mode=5121 16777214 0 3 98491295 98491295 0 0
# compatibility_mode=5892 16776573 100 100 6433 166178451 0 0
# compatibility_mode=8192 67108863 100 0 5757 5757 0 0
# scanned=351054
# found=5
# cleaned=5
# scan_time=8691
C:\tmp\gtk2116-setup.exe	a variant of Win32/1AntiVirus application (deleted - quarantined)	00000000000000000000000000000000	C
C:\Users\markus\Downloads\BestVideoDownloaderSetup-TurboUpgrade.exe	probably a variant of Win32/Adware.DWTYODG application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Users\markus\Downloads\gtk2116-setup.exe	a variant of Win32/1AntiVirus application (deleted - quarantined)	00000000000000000000000000000000	C
C:\Users\markus\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller(1).exe	Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Users\markus\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller.exe	Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
         

Soll ich jetzt OTL machen oder bin ich durch?

Zitat:

C:\Users\markus\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller(1).exe

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Ok mache ich in Zukunft.

Ich werde dann heute noch den OTL Lauf machen und posten.

Gibt es schon Infos was den Virus angeht, ist er weg, oder ist noch Gefahr da?

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread