Hallo Ihr lieben Helfer da draussen , ich bin hier der Mensch an der Tastatur aber blutiger Anfänger. Beim betrachten der Homepage einer mir bekannten örtlichen Firma habe ich auf dem Laptop den "Security Shield" eingefangen. Habe nach 10Min googlen mit Handy wg. SecShield, den Computer heruntergefahren und 3x beim hochfahren Avira starten probiert (uraltes update) aber hat nicht geklappt. Mit 2. von 3 Computer (Lapi mit XP, Dell mit XP, Platin mit WIN2000) habe ich Anleitung in diesem Forum vom 18.12.2010 befolgt und "iExplore" und "Malwarebytes" laufen lassen. Es kam nur die Meldung "2 infizierte Dateien" beim Rest überall 0. SecShield ist erst mal nicht sichtbar, ABER unter Windows Explorer sind bei "C\Dokumente und Einstellungen\GÜNTHER" nun durch den SecShield 2 Kopien angelegt mit veränderten GUENTHER und G³NTHER.
Das ist 100% neu, aber jetzt sehe ich mehrere Dateien die mir früher ev. nicht aufgefallen sind wie "Default Users" und "Default User.WINDOWS" oder "All Users" und "All Users.WINDOWS".
Die Computer sind über einen Switch zum alten WIN2000 und zum Internet verbunden, aber der Dell ist über das angelegte Netzwerk nicht extra zum Laptop verbunden.
Ich will weder andere über e-mail noch unsere 2 anderen Computer (stärker) verseuchen: Was kann, soll, muss ich weiter machen um sauber zu werden ?
"defogger" hat zwar nicht extra FEHLER gemeldet aber ich habe am betroffenen Laptop "defogger_disable.log" am Desktop und nach dem doppelklicken von "dds.scr" (ohne "dds.com") wurde gescannt aber dann hat sich nichts geöffnet, weder 1 noch 2 Logfiles. Habe bei Schritt 3 den Gmer.txt erstellen können aber dds.txt und attach.txt konnte ich nicht finden
Bitte um Hilfestellung wegen nächster Schritte. Übrigens wünsche ich Euch super Zeiten.
Liebe Grüsse von CarlTech

Zitat:

und "Malwarebytes" laufen lassen. Es kam nur die Meldung "2 infizierte Dateien"

Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo Leute, ich habe nach der Datei suchen lassen und im tmp gefunden;
Die Anleitung versteh ich nicht, aber ich versuche es zu posten wie gehabt.
Mit besten Empfehlungen CarlTech

Hallo Leute, ich habe durch den Suchlauf die Logs gefunden und probiere diese zu posten.
Meine besten Wünsche sind dabei CarlTech

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Zitat:

Zitat von cosinus

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Mit Malware habe ich 2x gescannt, beide Ergebnisse habe ich gepostet (hoffe es ist das was Ihr braucht)
Grüße CarlTech

Zitat:

Zitat von CarlTech

Mit Malware habe ich 2x gescannt, beide Ergebnisse habe ich gepostet (hoffe es ist das was Ihr braucht)
Grüße CarlTech

Zitat:

Zitat von cosinus

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Mehr als die bereits am 21.3.12 um 14:00 geposteten Logs von Malware hab ich nicht. (In Anwendungsdaten\Malwarebytes\... gefunden) In Quarantine sind allerdings Zwei(2) .data sowie Zwei(2) .quar vom selben Datum 17.3. welche von Euch nicht angesprochen wurden und ich auch nicht gesendet habe, mir aber aufgefallen sind. Die dds- und attach- Dateien wurden ebenfalls mit den Logs gepostet. Meiner Überzeugung nach habt Ihr bereits Alles was Ihr von mir gewünscht habt. Wenn Ihr mehr braucht bitte genaue Angaben wie ich was, wo finde, da ich als Anwender-Anfänger oder so zu bezeichnen bin.
Grüße CarlTech

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich hoffe es ist so OK. Grüße CarlTech

Bitte unterlasse die sinnfreien Fullquotes! //cosinus

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Danke für den Hinweis mit den Fullquotes, versuche die von cosinus gewünschte OTL.txt entsprechend zu übermitteln (ich weis nicht wohin beim kopieren darum in Datei im Anhang).
Sollten noch andere Details an meinem Verhalten hier Anregungen hervorrufen: Ich bitte darum (bräuchte eigentlich eine Anleitung wie "ERSTE SCHRITTE IM HELP-FORUM", leider habe ich beim googeln nichts überzeugendes gefunden).
Grüße CarlTech

Hallo Leute, wollte mich und mein Dilemma in Erinnerung rufen.
Kann ich weiter von dem betroffenen Computer aus mailen?
Danke für die Hilfe und Grüße, CarlTech

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.03.23 23:45:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\Shell - "" = AutoRun
O33 - MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\Shell\AutoRun\command - "" = F:\laucher.exe
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Leute, danke für die bisherige Hilfe. Habe beim klicken vom Button <Run Fix> ein leises "Kling" gehört, nun ist in der unteren Taskleiste das <Malwarebytes Anti-Malw...>. In OTL-Prozessleiste ganz unten steht <Killing process. DO NOT INTERRUPT...> seit ca. 09:15 ; werde "wild" ausschalten mit Start-Knopf, da keine Reaktion auf irgendwas erfolgt (Maus oder Tastatur).
Vor dem OTL-Programmstart habe ich Avira deaktiviert # Textkopie # Deaktivierung von Programm < Malwarebytes Anti-Malware > # klicken von Button <RunFix> ... Siehe oben
Habe ich was falsch gemacht ? Internetverbindungs-Kabel habe ich nach 10 Min.
"Computerstarre" getrennt.
Bitte um Hilfestellung. Soll, darf ich Computer neu starten?
Mit bestem Dank CarlTech

Wiederhol den Fix im abgesicherten Modus bitte

Hallo, konnte endlich aus dem gesichertem Modus das erledigen (OTL-Prgrm vom 25.03.12, heute OHNE Internetverbindung) und probiere das Logfile hierher zu kopieren (wegen Fullquotes), ich hoffe das ist gewünscht, ansonsten bitte die genauen Schritte wie ich Euch die Daten übermitteln soll.
Darf ich den gesicherten Modus verlassen?
Herzlichen Dank für Eure Hilfe, Grüße CarlTech

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5b4e7560-e22f-11db-bd4c-000e358dee94}\ not found.
File F:\laucher.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Guenther
->Temp folder emptied: 5908631 bytes
->Temporary Internet Files folder emptied: 1990133 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users.WINDOWS

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 245760 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Günther
->Temp folder emptied: 114842942 bytes
->Temporary Internet Files folder emptied: 893524544 bytes
->Java cache emptied: 66184720 bytes
->FireFox cache emptied: 96951555 bytes
->Flash cache emptied: 4648 bytes

User: user
->Temp folder emptied: 2871 bytes
->Temporary Internet Files folder emptied: 7826230 bytes
->Flash cache emptied: 748 bytes

User: G³nther
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 180224 bytes
RecycleBin emptied: 9257846 bytes

Total Files Cleaned = 1.144,00 mb


[EMPTYFLASH]

User: Default User

User: All Users

User: NetworkService

User: LocalService

User: Guenther

User: Default User.WINDOWS

User: All Users.WINDOWS

User: NetworkService.NT-AUTORITÄT

User: LocalService.NT-AUTORITÄT

User: Günther
->Flash cache emptied: 0 bytes

User: user
->Flash cache emptied: 0 bytes

User: G³nther

Total Flash Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.39.2 log created on 03302012_162238

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!