Hallo Commu.

Habe seit heute auch diesen fiesen Virus. Jedoch ist er bei mir komisch.

Vorerst, ich möchte nicht mein System Platt machen!

Also, habe gestern ein Song gehört, und habe die Lyrics angeschaut. Dan kam aufenmal dieser Virus ( 50 Euro Virus ). Natürlich habe ich ersteinmal den STRG+ALT+ENTF gedrückt und habe auf Neustart geklickt, dabei habe ich den Vorgang abgebrochen damit ich auf meinem Dektop zugreifen konnte. Danach habe ich die AVAST Neustart prüfung gestartet. Er hat unteranderem Firefox als Infizierte Datei angezeigt und auch meinen Keylogger, der aber kein Virus ist.

Was jedoch komisch ist, beim starten des Computers versucht sich eine Datei zu öffnen mit dem Namen "theo" ( mein eigener Name ) Habe den Autostart dann bei TuneUp ausgemacht und komischerweise war der Pfad auch bei Firefox.exe. Firefox habe ich vorerst deinstalliert ( ohne Lesezeichen ). Und die Datei ist irgendwie immernoch da.

Also, ich kann auf meinen Desktop und alles, aber iwas ist da noch da und Malwarebytes und Avast finden nichts mehr!

Grüße

// Edit

Bleibt der Virus auch aktiv wenn ich mit Google Chrome surfe?..

Hi,

wenn Du beim Pfad vom Firefox aufgepasst hast, wirst Du feststellen der liegt nicht im "Programmbereich", sondern im Datenbereich... das ist die getarnte Exe...

Und ja, er bleibt auch aktiv wenn der richtige Firefox deinstalliert/gelöscht wird (wird über Run-Key gestartet)... aber eigentlich sollte er ja von Avast erwischt worden sein...

Daher bitte:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

So habe ich gemacht

Hi,

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hey,

Habe beides gemacht. Leider habe ich jetzt keine LOG dateien, also es besteht kein %systemroot%\_OLT odner!..

Und der Bericht von Malwarebytes, naja er hat nichts gefunden!

Ich verstehe das nicht richtig so, habe jetzt mal alles durchgesucht aber neine einzige Firefox.exe

Und auch mit der Suchfunktion von dem Programm finde ich nicht Firefox.exe

Hmmm

Also was soll ich nun tun Chris?

Hi,

gibt es noch Umleitungen beim Internet?

Gruß,
Ralf

WIe meinst du das?

Hi,

nun ja, sind noch seltsame Effekte zu beobachten, du willst in Google eine Seite aufmachen und kommst bei einer andere an etc.?

chris

Hey

Nein sowas habe ich nicht! Habe halt immernoch die Datei "theo" hmm

Hi,

schauen wir mal:
Scan mit SystemLook

Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

chris

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 12:19 on 17/02/2012 by Theo Hulok
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=""
"BATINDICATOR"="C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\BATINDICATOR.exe"
"LaunchHPOSIAPP"="C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\LaunchApp.exe"
"Easybits Recovery"="C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe"
"avast"=""C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui"
"IAStorIcon"="C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe"
"AdobeCS5.5ServiceManager"=""C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin"
"SwitchBoard"="C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe"
"StartCCC"=""C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun"
"Anti-phishing Domain Advisor"=""C:\ProgramData\Anti-phishing Domain Advisor\visicom_antiphishing.exe""
"LogMeIn Hamachi Ui"=""C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start"
"Malwarebytes' Anti-Malware"=""C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray"


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"=""C:\steam\steam.exe" -silent"


[]
Hive unrecognized.

-= EOF =-
         

Hi,

müssen wir noch mal mit der 64-Bit Version wiederholen, dazu später mehr...

chris