habe nun auch das polizeivirus

was genau muss ich tun?

malwarebytes hat bereits gescannt und die datei ist im anhang,

die olt ist leider zu groß für den anhang..

was muss ich weiter tun?

danke!!

zippen und anhaengen.

Danke für die Antwort,

Allerdings habe ich folgendes Problem,

Ich kann nicht mehr in den abgesicherten Modus einsteigen

Im startmenü ist die Option "abgesicherter modus" weg

Nur mehr normal oder mit Starthilfe starten.. Und Starthilfe bringt ja nicht viel

Zitat:

Ich kann nicht mehr in den abgesicherten Modus einsteigen

Wozu?

Windows normal starten!

Dann is immer der Polizei Bildschirm gekommen

Hab jetzt Malwarebytes laufen lassen und 2 Dateien gelöscht

Wie muss ich weiter tun?

also neue lage,

hab jetzt im abgesicherten Malwarebytes laufen lassen und 2 infizierte dateien gelöscht,

soweit funktioniert der pc jetzt wieder und ich kann normal starten

wars das jetzt?

Dein PC is nachwievor verseucht.

Wo sind die Logs?

http://www.trojaner-board.de/122515-...tml#post897581

ganz blöde frage am rande gg

bin halt ein laie..stehn in dem log nicht persönliche daten oder so die ich nicht einfach so posten sollte?

welche scans werden benötigt?
olt und mbam?

vielen vielen dank zu dieser späten stunde!!

Zitat:

bin halt ein laie..stehn in dem log nicht persönliche daten oder so die ich nicht einfach so posten sollte?

ist das jetzt dein ernst?
schau sie doch durch und dann poste sie endlich.

Zitat:

welche scans werden benötigt?
olt und mbam?

Beide!

ok hier sind sie,

danke

wie gehts jetzt weiter?

habe gerade einen kompletten thread mit anleitung usw von dir gefunden..

nur dies file die ich ins olt einfügen muss bekomme ich dann noch von dir oder wie? gg

ist ja echt spitze dieses forum

Kann mir keiner mehr weiterhelfen was als nächstes zu tun ist?


Ich wart halt mal...

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox 
IE:64bit: - HKLM\..\SearchScopes\{199DE110-F5A9-46B1-9F71-5B559F98AB5D}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF 
IE:64bit: - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF 
IE:64bit: - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 
IE:64bit: - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/5221-111072-7833-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox 
IE - HKLM\..\SearchScopes\{199DE110-F5A9-46B1-9F71-5B559F98AB5D}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF 
IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF 
IE - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 
IE - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/5221-111072-7833-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?l=dis&o=1586&gct=hp 
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox 
IE - HKCU\..\SearchScopes\{199DE110-F5A9-46B1-9F71-5B559F98AB5D}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 
IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF 
IE - HKCU\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF 
IE - HKCU\..\SearchScopes\{C8869D57-10AB-45D6-BFD5-733AA3E6B871}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=DVS2&o=1586&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AAA&apn_dtid=^YYYYYY^YY^AT&apn_uid=6E6DF752-6933-48A5-874A-AD99BD4617EA&apn_sauid=B6422EA4-F835-4575-9261-D4BC85F0DD70 
IE - HKCU\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 
IE - HKCU\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/5221-111072-7833-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - user.js - File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll () 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask) 
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) 
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) 
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{2b6c9fa6-2cc5-11e1-bf20-806e6f6e6963}\Shell - "" = AutoRun 
O33 - MountPoints2\{2b6c9fa6-2cc5-11e1-bf20-806e6f6e6963}\Shell\AutoRun\command - "" = E:\LaunchBFII.exe 
O33 - MountPoints2\{4aca1437-324f-11e1-826c-2c4138628ae1}\Shell - "" = AutoRun 
O33 - MountPoints2\{4aca1437-324f-11e1-826c-2c4138628ae1}\Shell\AutoRun\command - "" = F:\setup.exe AUTORUN=1 
O33 - MountPoints2\{4f39b781-4ab5-11e1-a549-2c4138628ae1}\Shell - "" = AutoRun 
O33 - MountPoints2\{4f39b781-4ab5-11e1-a549-2c4138628ae1}\Shell\AutoRun\command - "" = F:\.\Autorun.exe AUTORUN=1 
O33 - MountPoints2\{8d3fdc12-ac16-11e1-9e47-2c4138628ae1}\Shell - "" = AutoRun 
O33 - MountPoints2\{8d3fdc12-ac16-11e1-9e47-2c4138628ae1}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true 
O33 - MountPoints2\{eb6a8042-4ab9-11e1-9a16-2c4138628ae1}\Shell - "" = AutoRun 
O33 - MountPoints2\{eb6a8042-4ab9-11e1-9a16-2c4138628ae1}\Shell\AutoRun\command - "" = F:\.\Autorun.exe AUTORUN=1 

[2012.08.23 00:34:09 | 004,503,728 | ---- | M] () -- C:\ProgramData\ism_0_llatsni.pad 
[2012.08.22 22:53:30 | 003,313,664 | ---- | C] () -- C:\Users\Bernhard Weber\Setup.msi 
[2012.08.20 23:50:07 | 000,000,000 | ---D | C] -- C:\Users\Bernhard Weber\Temp 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

habe alles erledigt und auch ein paar tage ruhe gehabt..

nun bekomme ich heute wieder das gleiche fenster und der virus ist noch immer/wieder da..

das fixen mit OTL funktioniert nun auch nicht mehr..

was hab ich falsch gemacht?

hab damals malware und danach fix mit OTL gemacht..

nun ist es eben wieder da..

Ich glaube du hast nicht kapiert, dass der Fix deinen PC entsperrt.
Dieser muss noch bereinigt und abgesichert werden, sonst passiert das (wie gesehen) wieder, denn die Luecke ist ja noch da.

Du meldest dich aber einfach nicht mehr. Was soll das?

War beruflich leider ziemlich eingespannt und hatte kaum zeit
War keine Absicht sry!

Vl könntest du mir noch einmal helfen und das mit mir schrittweise durchgehen
Wäre nett.

Danke!

Poste danach das Fix-Log!

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2005.09.02 21:21:51 | 000,000,051 | R--- | M] () - E:\autorun.inf -- [ CDFS ] 
[2012.08.31 21:18:43 | 083,023,306 | ---- | M] () -- C:\ProgramData\nud0repor.pad 
  
[2012.06.30 19:36:35 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Bernhard Weber\AppData\Roaming\mozilla\Firefox\Profiles\ycw7ispk.default\extensions\toolbar@ask.com 

[2012.01.22 23:55:50 | 000,000,000 | ---D | M] -- C:\Users\Bernhard Weber\AppData\Roaming\TP 
:Files


C:\Users\Bernhard Weber\AppData\Local\{*}
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\Bernhard Weber\AppData\Local\Temp\*.exe
C:\Users\Bernhard Weber\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
%SystemRoot%\System32\*.tmp
%SystemRoot%\SysWOW64\*.tmp
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!