Hallo Zusammen,

Auch mich hat es erwischt. Antivir hat mir sowohl den Trojaner FakeSysdef.A.als auch Alureon gebracht.
Nach dem Neustart des Computers wollte ich Maleware durchlaufen lassen (vorher habe ich rkill laufen lassen) allerdings stürzt mir Malewarebits immer nach 2 Stunden ab und schaltet den Computer aus.

Meine Frage wäre nun, bekomme ich den Laptop nun wieder ohne Neuaufsetzen 100% ig ohne diesen Trojaner zum Laufen? Oder wäre ein Neuaufsetzen besser?

Und würdet ihr mir dabei helfn? Ich kenne mich absolut nicht aus mit Computern. Ich habe derzeit Windows 7 der Laptop ist ein Packard Bell eine Cd habe ich nicht :-(.

Vielen lieben Dank schon einmal!
Viele Grüße, Sonja

Zitat:

ohne Neuaufsetzen 100% ig

Sry das widerspricht sich
Entweder alles sicher weg durch Neuinstallation oder eben mit sehr großer Wahrscheinlichkeit alles weg wenn man richtig und verünftig bereinigt
Aber 100% durch Bereinigung ist nicht möglich!

Hallo Cosinus,

danke für deine Antwort! Dann würde ich sagen, dass ich ihn erstmal bereinige, damit meine Daten noch vorhanden sind. Ich habe nämlich keine Daten anderweitig gespeichert. :-(

Würdest du mir dabei bitte helfen?

Viele Grüße, Sonja

Du willst aber 100% haben
Dann sicherst du alle Daten eben über eine Live-CD vorher und machst dann eine Neuinstallation

Es sei denn du meinst garkeine 100% weil du doch eine Bereinigung möchtest

Ich muss nochmal blöd Fragen, entschuldige bitte aber ich bin wirklich unbedarft was das angeht :-( wäre es mit der Live Cd einfacher für dich mir das Ganze zu erklären?
Ich habe nur den Rechner der verseucht ist und ein Ipad, kann ich so eine Live-Cd über meinen verseuchten Rechner machen? Und ich habe keine Windows CD :-)

Dass es mit einer Bereinigung nicht zu 100% klappen kann ist mir bewusst =) Aber eine sehr hohe Warscheinlichkeit ist mir lieber, als weiterhin ohne meinen Laptop arbeiten zu müssen. :-)

Entschuldige meine doofen Fragen.

Also doch lieber Bereinigung

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Ok danke ich mach mich gleich daran. Ist es besser wenn ich Windows normal starte, oder soll ich malewarebits besser im abgesicherten Modus mit Netzwerkverbindung durchlaufen lassen?

Ich habe jetzt einmal alles im normalen Modus ausgeführt.

Das ist die Datei von eset:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4be3e33ebd601445b939f3c616791d1f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-27 07:54:46
# local_time=2012-06-27 09:54:46 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1792 16777215 100 0 568476 568476 0 0
# compatibility_mode=3588 16777214 100 85 567359 86427430 0 0
# compatibility_mode=5893 16776573 100 94 425142 92446063 0 0
# compatibility_mode=8192 67108863 100 0 118 118 0 0
# scanned=719549
# found=3
# cleaned=0
# scan_time=10673
C:\Users\Sunny\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Sunny\AppData\Local\Temp\BBA749C3-BAB0-7891-A165-FA5C9430712B\MyBabylonTB.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Sunny\AppData\Local\Temp\InstallShare31763\bab_setup.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
         

und Malewarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.27.06

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Sunny :: SUNNY-PC [Administrator]

Schutz: Aktiviert

27.06.2012 15:12:28
mbam-log-2012-06-27 (15-12-28).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 902375
Laufzeit: 3 Stunde(n), 28 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Grüßle, Sonja

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ja habe ich, einmal habe ich es abgebrochen, weil das System sich aufgehängt hatte und 2 mal ist mir der Computer von selbst runtergefahren. Ich poste mal alle Logs die drauf sind (komischerweise steht da was von 2010, da habe ich nie Malewarbyts ausgeführt?)

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4724

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.09.2010 20:27:47
mbam-log-2010-09-30 (20-27-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 258485
Laufzeit: 51 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.21.10

Windows 7 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Sunny :: SUNNY-PC [Administrator]

Schutz: Deaktiviert

21.06.2012 22:49:44
mbam-log-2012-06-21 (22-49-44).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223468
Laufzeit: 39 Minute(n), 33 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.27.06

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Sunny :: SUNNY-PC [Administrator]

Schutz: Aktiviert

27.06.2012 15:12:28
mbam-log-2012-06-27 (15-12-28).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 902375
Laufzeit: 3 Stunde(n), 28 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

2012/06/22 18:36:53 +0200	SUNNY-PC	Sunny	MESSAGE	Executing scheduled update:  Daily
2012/06/22 18:37:05 +0200	SUNNY-PC	Sunny	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.06.21.10 to version v2012.06.22.08
         

Code: Alles auswählenAufklappen

ATTFilter

2012/06/27 15:05:18 +0200	SUNNY-PC	Sunny	MESSAGE	Starting protection
2012/06/27 15:05:21 +0200	SUNNY-PC	Sunny	MESSAGE	Protection started successfully
2012/06/27 15:05:24 +0200	SUNNY-PC	Sunny	MESSAGE	Starting IP protection
2012/06/27 15:05:25 +0200	SUNNY-PC	Sunny	MESSAGE	Executing scheduled update:  Daily
2012/06/27 15:05:25 +0200	SUNNY-PC	Sunny	ERROR	Scheduled update failed:  No address found failed with error code 0
2012/06/27 15:05:29 +0200	SUNNY-PC	Sunny	MESSAGE	IP Protection started successfully
2012/06/27 15:10:24 +0200	SUNNY-PC	Sunny	MESSAGE	Starting database refresh
2012/06/27 15:10:24 +0200	SUNNY-PC	Sunny	MESSAGE	Stopping IP protection
2012/06/27 15:14:30 +0200	SUNNY-PC	Sunny	MESSAGE	IP Protection stopped
2012/06/27 15:14:34 +0200	SUNNY-PC	Sunny	MESSAGE	Database refreshed successfully
2012/06/27 15:14:34 +0200	SUNNY-PC	Sunny	MESSAGE	Starting IP protection
2012/06/27 15:14:38 +0200	SUNNY-PC	Sunny	MESSAGE	IP Protection started successfully
2012/06/27 17:13:05 +0200	SUNNY-PC	Sunny	MESSAGE	Executing scheduled update:  Daily
2012/06/27 17:13:06 +0200	SUNNY-PC	Sunny	ERROR	Scheduled update failed:  No address found failed with error code 0
         

Code: Alles auswählenAufklappen

ATTFilter

 2012/06/28 14:28:11 +0200	SUNNY-PC	Sunny	MESSAGE	Starting protection
2012/06/28 14:28:14 +0200	SUNNY-PC	Sunny	MESSAGE	Protection started successfully
2012/06/28 14:28:17 +0200	SUNNY-PC	Sunny	MESSAGE	Starting IP protection
2012/06/28 14:28:21 +0200	SUNNY-PC	Sunny	MESSAGE	IP Protection started successfully
         

Das ist alles.. aber da stehen ziemlich viele errors fällt mir gerade auf O.o

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Im normalen Windows Modus geht alles wie gewohnt (seitdem das war habe ich den Computer nicht mehr fürs I-net wie jetzt z.B. genutzt weil ich Angst hatte, dass Alureon noch irgendwo versteckt sitzt) ich kann ihn hochfahren und ohne Probleme runterfahren andere Fehler sind (bislang noch?) nicht aufgetreten.
Manche Dateien waren beim letzten hochfahren noch "versteckt" also leicht durchsichtig warscheinlich weil ich den Hacken bei versteckte Dateien anzeigen noch nicht wieder rausgenommen hatte und bei allen Dateien den Hacken bei versteckt rausgenommen habe - sind jetzt aber wieder normal da.

Ok ich habe unter den anderen Programmen mal nachgesehen, es sind doch noch ein paar "versteckt". Die ProgrammData z.b.

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

danke dir. Ich habe unhide ausgeführt und dazu auch einen Bericht. Falls du ihn benötigst, habe ich ihn mal angehängt :-)

Code: Alles auswählenAufklappen

ATTFilter

 Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
  hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 06/29/2012 08:21:49 PM
Windows Version: Windows 7

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 761797 files processed.

Restoring the Start Menu.
 * 3 Shortcuts and Desktop items were restored.


Searching for Windows Registry changes made by FakeHDD rogues.
 - Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
 - Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
No registry changes detected.

Restarting Explorer.exe in order to apply changes.

Program finished at: 06/29/2012 09:15:56 PM
Execution time: 0 hours(s), 54 minute(s), and 6 seconds(s)
         

Ich wiederhole nun meine 2 Fragen

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?