Hallo Experten!
Ich hab ein ähnliches Problem bereits gefunden - aber ein ähnliches, was nicht weiterhalf..
Ich habe ein Programm geöffnet, wonnach AntiVir aufgesprungen ist mit einer Warnung...Ich troll klickte aber auf Zugriff erlauben und dann kam die Sosse
Estmal wurde alles stillgelegt, man sah nur weiß, dann schaltete sich der PC von alleine aus.
Als ich wieder bei mir einloggte war bereits alles vollzogen...
Der Hintergrund war weiß, ein paar Sachen auf dem Desktop fehlen.
Wenn man auf Start klickt ist weder abmelden da, noch sonst was.
Man hat nur noch die Wahl rechts zwischen Programmzugriff - und Standards und unten Ausschalten.
Task-Manager Funktion ebenfalls auf Eis gelegt.
Es springen im Minutentakt englische Warnhinweise raus, rechts unten neben der Uhr steht Virus Alert, und dort unten links blinkt ein Rotes Kreuz.
Ich hoffe ich hab das Problem bestmöglich beschrieben.
Hoffe auf eure Hilfe.
Riesendank im voraus!

Hi,

das sieht noch neu aufsetzten aus... (http://www.trojaner-board.de/12154-a...sicherung.html)
ntos.exe -> http://www.prevx.com/filenames/X2636.../NTOS.EXE.html
EQVWAMKL.DL -> http://www.prevx.com/filenames/31739...WAMKL.DLL.html

Lass beide Dateien bei Virustotal prüfen:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\eqvwamkl.dll

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html


Combofix:
Download ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in dem Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst friert dein Rechner ein
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Poste es zusammen mit einem neuen Log von HijackThis

chris

Zu allererst: Vielen dank das du dir Zeit für mein Problem nimmst!
Also ich wollte mit einem Bericht alles schreiben, was du gesagt hast und was dabei rauskam.
Dann sah ich, dass man bei Combofix alles schließen musste und relfexartig schaltete ich diesen Fenster mit allen daten bis Combofix.
Hoffe das ist nicht so schlimm wenn ich es nicht so detailiert beschreibe:

Zitat:

Lass beide Dateien bei Virustotal prüfen:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\eqvwamkl.dll

Zum ersten: Ich hatte kein ntos.exe, sondern nur ntoskrnl.exe, daher fand Virustotal da keinen Virus - im Gegensatz zu eqvwamkl.dll, bei welchem 11 Virentesterprogramme Alarm schlugen.
Wenn du willst schreib ich hier den Log rein von Virustotal.
Ansonsten: Die zwei Logfiles sind im Anhang.
Vielen dank für weitere Hilfe!


ps. Momentan sieht es so aus nach meinen kleinen Erfahrungen, mit welchen ich gehandelt habe^^: Virus Alert neben der Uhr ist weg, Der Hintergrund sehr komisch, aber das Bild ist wieder da, jedoch ist hinter jedem Namen grauer Hintergrund als ob ich sie selektiert hätte(?)..Weiterhin habe ich nach dem ich auf Start klicke wieder alles da wie es sein sollte.
Sprich: Das einzigste Problem ist der Hintergrund...Die Programme, die spurlos verschwunden waren (lauter .exe - programme wie Photoshop, Veoh, Paint usw.) sind wieder da.
Ich denke zur besten Erleichterung meiner beschreibung, hier ein Screenshot:
http://www.abload.de/img/screen1ib.jpg

Hallo,

bitte noch folgendes umgehend fixen:
Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.
Poste das Log von MAM;

Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris

Puh, Malwarebytes dauernd ja ewig..Stimmt das?
Ich warte schon seid 2 Stunden und der sucht da nach liedern, bilder usw....

Hi,

ist eine Frage der Plattengröße...
Ja auch in Liedern (mp3) und Bildern können durch Windowsfehler bösartiger Code versteckt werden. Der provoziert dann einen Bufferoverflow, damit werden dann Teile eines Bildes als Code ausgeführt (der vorher dort versteckt wurde). Das ist dann meist ein Downloader der die eingentlichen Trojaner erst nach lädt... Den Rest kannst Du Dir denken...

chris

Sorry, aber ich schaff das nich mehr, 3 stunden und er untersucht immer noch bei nur einem user - meinem Bruder, der viel weniger daten hat als ich.
Das mit dem http://virus-protect.org/artikel/tools/rootkithook.html verstehe ich nicht so ganz..Wo krieg ich den Blacklight log her?

Hi,

hier:
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Black Light Elimination Tool
# Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
# Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
# Klicke "I accept the agreement", "next", "Scan".
# wenn der Scan zuende ist, wähle "Close".
# Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)

chris

Zitat:

Zitat von Chris4You

Hi,
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)

hab ich nicht ganz verstanden, aber hier ein Log.

Naja, wie gesagt, mein größtes und einzigstes Problem war mein komischer hintergrund - dieser ist mit änderung des wallpapers -weg-.
Ich habe hiermit eigentlich keine sichtlichen Probleme.
Und wenn man Trojaner oder Viren oder eben Malware oder Spyware hat, merkt man das doch, da alles langsam läuft. So ist es aber bei mir nicht mehr.
Also was kann ich als 100%ige Absicherung tun?

Hi,

eine 100% Sicherheit kann und wird es nicht geben...

Die meisten Viecher werden vom User auf den Rechner geholt, per Email-Anhang, bewusst (Programme aus "zweifelhafter" Quelle) etc....

Hier was zu dem Thema:
http://www.trojaner-board.de/13150-un-sicheres-windows-am-heim-pc-vortrag-von-volker-birk-ccc-erfa-ulm.html

Ansonsten nutze ich Firefox mit NoScript-Plugin und Dr. Web-Pulgin (zum Scannen verdächtiger Links), eine Firewall, einen Guard der mitläuft, zum Surfen ein eingeschränktes Konto benutzen oder gleich via Sandboxie den Firefox laufen lassen... nicht benötigte Ports sperren etc. ...(http://www.paules-pc-forum.de/pc-kurs/kurs13_11.htm, http://www.sandboxie.com/)...

Chris