Hallo,
vor ca. 2 Stunden wurde mein Bildschirm plötzlich schwarz und dieses System Check tauchte auf. Angeblich Probleme mit der Festplatte und ich solle doch die Vollversion zur Bereinigung kaufen...habe es schon gegoogelt es ist eindeutig der System Check Virus!!!
Nun habe ich seitedem den Computer zwei Mal gestartet und bin nun im angesicherten Modus. Ich habe mir Antivir und
Malwarebytes runtergeladen und lasse die laufen, die laufen allerdings schon seit rund 1.30 Stunden. Avira ist erst bei 5,3%, hat aber 9 Funde. Dauert das immer so lange?
Ich habe gar keine Ahnung von so was und ich brauche unbedingt eure Hilfe!!!
Ich hoffe, es gehen nicht meine ganzen Daten verloren...wie soll ich weiter vorgehen?
Noch zur Info: Ich habe Windows Vista...
Ich bin echt verzweifelt, weil dort so viele wichtige Sachen drauf sind...
Okay, also
Malwarebytes ist fertig und hat sechs Funde. Die sind jetzt in Qurantäne. Was soll ich nun tun?
Ich habe auch das Log:
Malwarebytes
Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Datenbank Version: v2012.03.29.03
Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
29.03.2012 11:56:10
mbam-log-2012-03-29 (14-44-00).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 544741
Laufzeit: 2 Stunde(n), 41 Minute(n), 37 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|JYSiYyRGNluwQXA.exe (Rogue.FakeHDD) -> Daten: C:\ProgramData\JYSiYyRGNluwQXA.exe -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\ProgramData\JYSiYyRGNluwQXA.exe (Rogue.FakeHDD) -> Keine Aktion durchgeführt.
C:\ProgramData\fslyDYQnhPiMxa.exe (Backdoor.Agent.RCGen) -> Keine Aktion durchgeführt.
C:\Users\Nadine\AppData\Local\Temp\Ex4GjHfQoH8v10.exe.tmp (Rogue.FakeHDD) -> Keine Aktion durchgeführt.
(Ende)
Was soll ich nun tun? Bitte, ich brauche wirklich dringend Hilfe...
Beziehungsweise:
Zitat:
Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Datenbank Version: v2012.03.29.03
Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
29.03.2012 11:56:10
mbam-log-2012-03-29 (11-56-10).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 544741
Laufzeit: 2 Stunde(n), 41 Minute(n), 37 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|JYSiYyRGNluwQXA.exe (Rogue.FakeHDD) -> Daten: C:\ProgramData\JYSiYyRGNluwQXA.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\ProgramData\JYSiYyRGNluwQXA.exe (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\fslyDYQnhPiMxa.exe (Backdoor.Agent.RCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nadine\AppData\Local\Temp\Ex4GjHfQoH8v10.exe.tmp (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
So und hier noch Avira:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 29. März 2012 12:27
Es wird nach 3548754 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Abgesicherter Modus mit Netzwerk Support
Benutzername : Nadine
Computername : NADINEPC
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 06:55:52
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 06:56:29
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 06:56:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 06:55:52
AVREG.DLL : 12.1.0.29 228048 Bytes 31.01.2012 06:55:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:24:31
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 09:27:02
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 09:27:03
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 09:27:03
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 09:27:03
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 09:27:04
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 09:27:04
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 09:27:04
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 09:27:04
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 09:27:04
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 09:27:04
VBASE014.VDF : 7.11.26.54 2048 Bytes 28.03.2012 09:27:04
VBASE015.VDF : 7.11.26.55 2048 Bytes 28.03.2012 09:27:04
VBASE016.VDF : 7.11.26.56 2048 Bytes 28.03.2012 09:27:04
VBASE017.VDF : 7.11.26.57 2048 Bytes 28.03.2012 09:27:04
VBASE018.VDF : 7.11.26.58 2048 Bytes 28.03.2012 09:27:05
VBASE019.VDF : 7.11.26.59 2048 Bytes 28.03.2012 09:27:05
VBASE020.VDF : 7.11.26.60 2048 Bytes 28.03.2012 09:27:05
VBASE021.VDF : 7.11.26.61 2048 Bytes 28.03.2012 09:27:05
VBASE022.VDF : 7.11.26.62 2048 Bytes 28.03.2012 09:27:05
VBASE023.VDF : 7.11.26.63 2048 Bytes 28.03.2012 09:27:05
VBASE024.VDF : 7.11.26.64 2048 Bytes 28.03.2012 09:27:06
VBASE025.VDF : 7.11.26.65 2048 Bytes 28.03.2012 09:27:06
VBASE026.VDF : 7.11.26.66 2048 Bytes 28.03.2012 09:27:06
VBASE027.VDF : 7.11.26.67 2048 Bytes 28.03.2012 09:27:06
VBASE028.VDF : 7.11.26.68 2048 Bytes 28.03.2012 09:27:06
VBASE029.VDF : 7.11.26.69 2048 Bytes 28.03.2012 09:27:07
VBASE030.VDF : 7.11.26.70 2048 Bytes 28.03.2012 09:27:07
VBASE031.VDF : 7.11.26.84 68608 Bytes 29.03.2012 09:27:09
Engineversion : 8.2.10.28
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 06:55:38
AESCRIPT.DLL : 8.1.4.13 442746 Bytes 29.03.2012 09:29:06
AESCN.DLL : 8.1.8.2 131444 Bytes 29.03.2012 09:29:00
AESBX.DLL : 8.2.5.5 606579 Bytes 29.03.2012 09:29:11
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.2.16.7 803190 Bytes 29.03.2012 09:28:55
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.01.2012 06:55:36
AEHEUR.DLL : 8.1.4.8 4514165 Bytes 29.03.2012 09:28:34
AEHELP.DLL : 8.1.19.0 254327 Bytes 29.03.2012 09:27:32
AEGEN.DLL : 8.1.5.23 409973 Bytes 29.03.2012 09:27:31
AEEXP.DLL : 8.1.0.25 74101 Bytes 29.03.2012 09:29:12
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 29.03.2012 09:27:21
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 06:55:54
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 06:55:51
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 06:55:51
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 06:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 06:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 06:56:07
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 06:55:52
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 06:56:02
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 06:56:32
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 06:56:32
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Donnerstag, 29. März 2012 12:27
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsGui.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDAV_Online_aff_GenericRevenueWire_207[1].exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcmscsvc.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSrv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1321' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:'
C:\Program Files\Big Fish Games Spiel-Suite\installers\atlantisskypatrol_s2_l2_gF1130T1L2_d0_xcd.exe
[0] Archivtyp: NSIS
--> [UnknownDir]/[UnknownDir]
[FUND] Ist das Trojanische Pferd TR/Agent.2409800
C:\Users\Nadine\AppData\Local\Temp\9BD9.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
C:\Users\Nadine\AppData\Local\Temp\audiosrv.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
C:\Users\Nadine\AppData\Local\Temp\jar_cache6046366195437767970.tmp
[0] Archivtyp: ZIP
--> myf/y/AppletX.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353
--> myf/y/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Selace.L
--> myf/y/PayloadX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Selace.X
C:\Users\Nadine\AppData\Local\Temp\plugtmp-4\plugin-ChangeLog.pdf
[0] Archivtyp: PDF
--> pdf_js_1.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.fyh
C:\Users\Nadine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\79efab09-6e63316e
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
Beginne mit der Desinfektion:
C:\Users\Nadine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\79efab09-6e63316e
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdbca30.qua' verschoben!
C:\Users\Nadine\AppData\Local\Temp\plugtmp-4\plugin-ChangeLog.pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.fyh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '537ce562.qua' verschoben!
C:\Users\Nadine\AppData\Local\Temp\jar_cache6046366195437767970.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Selace.X
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '012cbf87.qua' verschoben!
C:\Users\Nadine\AppData\Local\Temp\audiosrv.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6725f071.qua' verschoben!
C:\Users\Nadine\AppData\Local\Temp\9BD9.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22c1dd9c.qua' verschoben!
C:\Program Files\Big Fish Games Spiel-Suite\installers\atlantisskypatrol_s2_l2_gF1130T1L2_d0_xcd.exe
[FUND] Ist das Trojanische Pferd TR/Agent.2409800
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d82ef2e.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 29. März 2012 15:52
Benötigte Zeit: 3:23:30 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
38035 Verzeichnisse wurden überprüft
1368843 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1368834 Dateien ohne Befall
23364 Archive wurden durchsucht
0 Warnungen
6 Hinweise
|
Übrigens habe ich gerade den Computer heruntergefahren und neu gestartet (nicht abgesicherter Modus). Es erscheint nur ein hellblauer Hintergrund. Ich bin wirklich verzweifelt...
Ich habe auch schon dieses OTL durchgeführt. Da es hier im Forum nicht die Möglichkeit gibt, Logs zu löschen, würde ich diese aber gerne per PN schicken, falls das geht...
Es ist wirklich dringend, weil ich nicht mehr an ein wichtiges Word-Dokument kommen, dass ich bis Montag abgeben muss. Deswegen sorry, dass ich so nerve. Aber es ist wirklich dringend!!!
29.03.2012, 12:42
Linear-Darstellung
