Hallo,
ich habe heute eine Email bekommen, laut der auf meine PC ein Virus namens Hermes_V01 vorhanden sein soll. Danach habe ich die hier empfohlenen Programme und Scans durchgeführt.
Dazu kommt noch , dass ich letztes Wochenende Samstag plötzlich diese tolle BKA-Seite mit Zahlungsaufforderung in Höhe von 100 Euro (ist aber anders gewesen als auf den Fotos) auf dem Bildschirm hatte und das auch jedesmal direkt nach dem hochfahren des PCs. Da ich dann davon ausgegangen bin, dass ich einen Virus auf der Festplatte C: hatte, habe ich das System neu drauf gespielt bzw die Festplatte vorher formatiert. Das ist zwar eine recht brutale Methode (die hoffentlich funktioniert hat), da ich aber zwei Festplatten habe und regelmäßig Sicherungen der Daten auf einer externen Platte mache, ging das schnell und einfach, zumal ich ja dann nicht mehr ins Netz konnte wegen besagter BKA-Aufforderung.

Seit der Neuinstallation ist die Aufforderung nicht mehr aufgetaucht, ich habe aber bemerkt, dass Mozilla die Icons der Lesezeichen erst laden muss, was auch bei anderen Nutzern schon aufgetreten ist. Die txt Dateien habe ich angehängt. Es wäre schön, wenn jemand Entwarnung geben könnte bzw ich wüßte, was ich noch machen müsste, falls noch Reste vom Trojaner irgendwo rumschwirren (Passwörter erneuern von einem anderen PC aus).

hi
das du schon wieder malware drauf hast, ist ja kein wunder, nichtmal windows updates instaliert.
möchte mir ne datei ansehen, dann musst du noch mal neu aufsetzen

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [UpgradeHelper] C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Windows Search\{E954BA4B-26EB-4629-8365-A6146A4245DA}\UpgradeHelper.exe (Sea3Soft)
 :Files
C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Windows Search\{E954BA4B-26EB-4629-8365-A6146A4245DA}
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

So, hier die Datei. Ich hatte es zweimal gestartet, weil ich beim ersten mal dachte, das Programm hat sich aufgehängt...und hab es erst später wieder probiert.

ca 15 uhr
Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

ca 17 uhr

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\UpgradeHelper not found.
File C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Windows Search\{E954BA4B-26EB-4629-8365-A6146A4245DA}\UpgradeHelper.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: Guest
->Flash cache emptied: 1245 bytes

User: LocalService

User: NetworkService

User: Rainer
->Flash cache emptied: 0 bytes

User: Vreni

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Guest
->Temp folder emptied: 5591 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 127565160 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Rainer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 79856167 bytes
->FireFox cache emptied: 1149710642 bytes
->Flash cache emptied: 0 bytes

User: Vreni
->Temp folder emptied: 5591 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2238905 bytes
%systemroot%\System32 .tmp files removed: 785287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 277542 bytes
RecycleBin emptied: 1326735355 bytes

Total Files Cleaned = 2.563,00 mb


OTL by OldTimer - Version 3.2.53.1 log created on 07072012_170906

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Hallo,
soll ich nicht doch besser die Format C: Methode nehmen ?
Seitdem ich das mit der OTL gemacht habe, hat Avira schon etwa fünf verschiedene Trojaner gefunden und ich weiß nicht, was ich tun soll

wo sind die berichte dazu?

nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Hallo,
ich weiß nicht, was mit Berichten gemeint ist.
Ich kann nur sagen, dass die Antivirus software nur kurz piepst, ein kleines fenster aufspringt und dann irgendeinen namen rausgibt und der jedes mal anders ist.
die frage ist also, ob format C: das problem schnell löst, wenn es mir egal sein kann, dass ich alle daten auf C: verliere, weil das keine wichtigen drauf sind...

und ja, normalerweise habe ich alle möglichen anwendung privat darauf laufen und alles mit passwörtern
mehrere emailaccounts, communities etc
wichtig wäre mir jetzt erst, wie ich die dinger wirklich los werden... denn das, was oben stand, hat offensichtlich nicht geholfen