Wir können da natürlich die Ausnahme machen, aber beachte auch bitte den letzten Satz im Hinweis. Überlege dir das gründlich ob du dann eine Bereinigung noch machen willst.

Ja das habe ich gelesen und zur Kenntnis genommen. Ich denke dennoch, daß die Bereinigung gegenüber einem Neuaufsetzen für mich die bessere Alternative ist.

Gruß Christian

Grenzwertig ist das ganze aber schon, zum einen hast du da nen recht üblen ZAccess drauf und zum anderen sind unsere verwendeten Tools nicht unbedingt auf gewerbliche Rechner erlaubt.

Aber nun gut

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - user.js - File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.11 10:10:38 | 000,034,816 | ---- | M] () - F:\Autohaus Duesing Automobile.doc -- [ NTFS ]
O33 - MountPoints2\{bdf64274-daff-11dd-b2da-00e04d871069}\Shell - "" = AutoRun
O33 - MountPoints2\{bdf64274-daff-11dd-b2da-00e04d871069}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bdf64274-daff-11dd-b2da-00e04d871069}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
C:\windows\Installer\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\@
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\@
C:\windows\Installer\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\L
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\L
C:\windows\Installer\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\U
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\U
C:\windows\Installer\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\n
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{0e618453-57e4-41ae-69e8-9de09e70e5d5}\n
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi Arne!

Ich schreibe jetzt von einem anderen Rechner aus! Ich habe die von Dir genannten Schritte ausgeführt und glaube, daß sich das Programm aufgehängt hat. Er zeigt an: "Killing process, do not interrupt". Das ganze dauert nun aber schon 4 Stunden.

Ist das richtig, oder soll ich neu starten und die ganze Prozedur nochmal machen?

Viele Grüße, Christian

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Nur damit Du nicht meinst, ich wäre nicht mehr da, melde ich mich mal zurück. Habe gerade Ärger mit dem Rechner. Er schaltet sich selbstständig aus. Meistens mitten in der Fix-Prozedur von OTL. Deshalb konnte ich die Schritte noch nicht fertigstellen.

Ich überlege nun vielleicht doch das ganze neu aufzusetzen, allerdings weiß ich nicht, ob das Abschalten vielleicht eher ein Problem ist, daß mit dem Trojaner nix zu tun hat.

Viele Grüße, Christian

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Ja, nur leider schaltet der Rechner sich im abgesicherten Modus selbst aus...

Egal in welchem? Hast du den reinen abgesicherten Modus probiert oder auch den mit Netzwetrktreibern?

Und "schaltet sich selbst" aus ist eine etwas dürftige Info, du müsstest schon genauer schreiben ab wann bzw. was du da machst bzw. ob das erst bei OTL auftritt

Egal in welchem abgesichertem Modus, schaltet sich der Rechner während der Fix-Prozedur von OTL (blauer Balken läuft am unteren Rand des Programmfensters von OTL) von jetzt auf gleich aus. Das heißt ohne runterfahren macht es "Klack" und der PC ist aus, als wenn ich 4 Sekunden den Power-Schalter gedrückt hätte. Danach kann ich ihn sofort und problemlos wieder starten. Allerdings hängt er sich im normalen Windows-Modus kurz nach dem Hochfahren immer auf (wenn der Desktop inkl. Programmsymbolen komplett geladen wurde).

Du hast aber schon die Sternchen im Log zurückeditiert und deinen echten Benutzernamen wieder draus gemacht?

Ja, habe ich gemacht. Leider trotzdem immer das gleiche...

Überspringen wir halt OTL

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.