Haha, (leider) kein gewerblicher Rechner - sonst hätte ich natürlich den IT Support drauf losgelassen
...Zur Herkunft meines Ultimates will ich hier, da öffentlich, nicht zu viel sagen Nur so viel: ich bin Student und mache gerade ein Auslandssemester in China...deshalb DHCP-Nameserver aus China
Ich hoffe, das ist kein Hindernis, den Trojaner in den Griff zu kriegen?

Hm, ein Ultimate aus China?

neenee. hab das schon ewig (bin erst seit sept. in china...) die version ist sogar ganz legal registriert ...nur wie ich dran gekommen bin, darf aber ein geheimnis bleiben

...Was soll ich als nächstes tun?

Zitat:

Zitat von crunschi

...nur wie ich dran gekommen bin, darf aber ein geheimnis bleiben

Und warum machst du daraus ein Geheimnis wenn angeblich alles so legal abgelaufen ist?

Die Voraussetzung für Bereinigungssupport ist legale und keine gecrackte/illegale Software. Wenn die Situation unklar ist und du nicht in dieser Hinsicht mit offenen Karten spielst werd ich die Hilfe eben sein lassen - also drück dich bitte etwas weniger nebulös aus damit es weiter geht!

ok, hab mir das nochmal durch den Kopf gehen lassen. Eigentlich ist echt nichts Verwerfliches dabei: Ich habe einen Kumpel, der Vista-Tester war bevor es raus gekommen ist. Der hat damals Lizenzen von Windows bekommen, wovon ich eine nutze.
Falls dir das nicht legal genug ist, kann ich mir auch über unseren Uni-Server total legal ein Windows 7 Professional besorgen... Das einzige Problem wäre dabei nur, dass ich den Trojaner auch auf meiner externen Festplatte habe. D.h., sobald ich die das erste mal nach dem Formatieren dran stecke, ist der Virus auch wieder auf dem W7 oder?

Danke dir!

Danke für die Info, die Erklärung reicht mir ja schon

Code: Alles auswählenAufklappen

ATTFilter

O1 - Hosts: 0.0.0.0         .psf
O1 - Hosts: 0.0.0.0         psf
         

Was sind denn das für Einträge in der Hostsdatei?


Außerdem seh ich da immernoch etwas Toolbar-Müll
Bitte mal den aktuellen adwCleaner runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Danke!
Was genau eine Hosts Datei ist, weiß ich leider nicht ...aber das 'psf' gab es zumindest schon vor dem Virus Befall. Das ist die Verbindung vom Windows, das ja auf Parallels läuft, zu dem OS. Mir ist aber gerade aufgefallen, dass auch diese Ordner irgendwie vom Virus befallen sind, im Explorer gibt es da auch die ganzen Verknüpfungen, das sieht so aus wie auf meiner ext. Festplatte... :/

Der Adwcleaner konnte glaub ich nichts neues mehr finden:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.003 - Datei am 09/28/2012 um 13:32:09 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
# Benutzer : Francesco - FRANCESCOS-PC
# Bootmodus : Normal
# Ausgeführt unter : \\psf\Home\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v3.6.10 (de)

Profilname : default 
Datei : C:\Users\Francesco\AppData\Roaming\Mozilla\Firefox\Profiles\soeukzx3.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [760 octets] - [28/09/2012 13:32:09]

########## EOF - C:\AdwCleaner[R1].txt - [819 octets] ##########
         

habe das Löschen trotzdem nochmal durchgeführt.

Das komische ist: Die Werbung (siehe auch Anhang) kommt auf meinem Mac-Firefox. Das ist für mich ein Zeichen, dass der Mac irgendwie auch tangiert sein muss.
Aber wenn ich einen USB-Stick nur an den Mac anschließe, während das Vista heruntergefahren ist, passiert mit dem Stick überhaupt nichts...also doch nicht befallen?

MOment mal, nur um das nochmal zusammenzufassen, ich will sichergehen, dass ich das richtig verstanden habe:

Dein Windows läuft über Parallels als VirtuelleMaschine in deinem MacOS?
Die Symptome hast du aber auf beiden Betriebssystemen?

Zitat:

Dein Windows läuft über Parallels als VirtuelleMaschine in deinem MacOS?

Genau.

Zitat:

Die Symptome hast du aber auf beiden Betriebssystemen?

naja. Eigentlich habe ich die Symptome nur auf dem Windows der VM.
Schließ ich die ext. festplatte an, sehe ich auf OS auch die Symptome, wie im Anhang 1&2 (jeweils eine Partition der ext. Festplatte). Alle Objekte mit *.Ink, *.exe, *.ico und *.mpeg sind durch den virus entstanden. Erstaunlicherweise sowohl auf der FAT32 Partition, als auch auf der Mac OS Extended (Journaled) Partition...

Hervorgerufen werden die Symptome vom OS aber sicher nicht. (Wenn ich neue ext. Geräte nur an das OS anschließe, entstehen keine Verknüpfungen etc.)
"naja", weil das einzige Symptom auf dem OS ist die Werbung im OS-Firefox. Die kommt allerdings auch nur, wenn ich mich über das chinesische WLan einlogge. Sobald ich den VPN-Client meiner Uni nutze, taucht sie nicht mehr auf...

ich hoffe, ich habs nicht all zu verwirrend beschrieben

Ja wenn MacOS das Windows-Dateisystem lesen kann ist das doch folgerichtig, dass der die vom Schädling erstellten Objekte auch anzeigt, was ist denn daran verwunderlich?

Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

Code: Alles auswählenAufklappen

ATTFilter

attrib -s -h "x:\ordner" /s /d
         

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Vgl. diesen Strang => http://www.trojaner-board.de/102950-...traeger-2.html

Sorry meine verspätetete Antwort! Hier war in letzter Zeit viel viel los...

Hab meine Hausaufgaben aber gemacht, soweit ich konnte. Das Problem ist allerdings, dass der attrib Befehl nicht bei allen Ordnern funktioniert (siehe Anhang).
Was soll ich da machen?

Zitat:

Ja wenn MacOS das Windows-Dateisystem lesen kann ist das doch folgerichtig, dass der die vom Schädling erstellten Objekte auch anzeigt, was ist denn daran verwunderlich?

..da ist natürlich was dran

NTFS-Rechte stimmen nich oder du hast das CMD-Fenster nicht per Rechtsklick als Admin ausgeführt

Letzteres ist richtig
Wenn ich das CMD-Fenster als Admin ausführe, kommt aber leider bei allen attrib Eingaben "Pfad nicht gefunden"...

Verzettelst du dich mit den Laufwerksbuchstaben? Erst ist es X und jetzt ist Z?

ne leider nicht :/ Z ist das "Laufwerk", das im Windows die Mac Dateien darstellt.
Und X ist die Mac Partition auf der Festplatte. Das Ding ist aber, wenn ich cmd als Admin ausführe, kommt die Fehlermeldung immer - auch bei allen anderen Laufwerken...