Hi,

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Zitat:

D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe

Finger weg von Keygens! Erstens ist es unmoralisch, zweitens gefährlich.
Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Zitat:

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

lg myrtille

Hi myrtille,

danke für die schnelle Antwort zu später Stunde!

Zitat:

Zitat von myrtille

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Wenn ich auf die Quarantäne von Malwarebytes klicke ist da nichts zu sehen.
Hab ich das in meinem Reinigungswahn fälschlicherweise löschen können?
Bzw. kann es sein, dass da was Wichtiges falsch erkannt und gelöscht wurde?

Zitat:

Zitat von myrtille

Finger weg von Keygens! Erstens ist es unmoralisch, zweitens gefährlich.
Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Dein Wort in meines Gatten Ohr!!!
Wir hatten ein ähhh... Gespräch darüber und ich bin mir ziemlich sicher, dass sowas nicht mehr auf unserem Rechner landet.
Immerhin darf ich mir jetzt die Tage und Nächte um die Ohren schlagen mit der Beseitigung von diesem Mist!

Zitat:

Zitat von myrtille

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Ich hatte den Teatimer eigentlich abgestellt, aber das hat wohl nicht nachhaltig funktioniert.

Zitat:

Zitat von myrtille

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

Ok, wenn Du das empfiehlst, schmeiß ich sie wieder runter.
Und mach mich erstmal schlau, was SUPERAntiSpyware ist...

Hi,

hast du die Quarantäne selbst geleert? Wenn ja wär das ärgerlich.

Hast du die Windows-CD greifbar? Wenn ja, diese bitte einlegen, dann unter start ->ausführen -> sfc /scannow eingeben. (auf das leerzeichen achten).
Dann sollten alle Windowsdatein geprüft und fehlende ersetzt werden.

lg myrtille
EDIT: und gute nacht.

CD verträgt er überhaupt nicht gerade, da schmiert er sofort ab.

Naja, vielleicht gehts ja morgen weiter...

danke nochmal und gute Nacht!

Nachtrag:
Vor ca. 1 Woche hat HJT immer Einträge dieser Art produziert mit verschiedenen DeletingD**** Nummern. Alle fanden sich unter 04-Einträgen.

O4 - HKCU\..\RunOnce: [SpybotDeletingD8459] cmd /c del "C:\WINDOWS\SchedLgU.Txt"

Ich hab das gefixt. Hoffentlich kein Fehler?!
Aber vielleicht sagt Euch das noch mehr, wer da wütet im System.

Da wütet ganz offensichtlich SpyBot.
Das wäre dann SpyBot wie er versucht Windowsdateien zu löschen:
Die SchedLgu.txt gehört zum Taskplaner: Link
(und ist nicht lebenswichtig, daher wird die wohl von SpyBot S&D gern gelöscht.)

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.
Theoretisch würde das auch von deiner Windows-CD aus gehen:
expand [Laufwerksbuchsabe de CD]:\i386\mdm.ex_ C:\windows\system32\mdm.exe


lg myrtille.

Zitat:

Zitat von myrtille

Da wütet ganz offensichtlich SpyBot.

Ich hab Spybot inzwischen rausgeschmissen.

Zitat:

Zitat von myrtille

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.

Ja, es gibt diesen Ordner i386 unter ServicePackFiles.
Das Fenster, das sich nach "cmd" öffnet sieht aus wie ein Dos-Fenster. Da steht dann schon drin:

C:\Dokumente und Einstellungen\***>

Soll ich dahinter diese Zeile eintragen, oder was soll da genau stehen?

@DaleCooper:

Danke auch Dir für Deine Antwort

Ich finde leider (oder Gott sei Dank?) nirgends C:\minidump

Die Malware-Sachen überlasse ich mal myrtille, aber suche unter c:\minidump nach einer Datei mini*.dmp. Wenn du was findest, hänge sie bitte hier mit ran oder lade sie bei http://www.file-upload.net hoch.