hi,

ich habe heute leider nicht geschafft, den virus auf meinem rechner zu entfernen.

ich habe drei programme benützt, welche sich jedoch alle als unnütz erwiesen haben:

- spybot
- ad aware
- a²

alle drei programme haben den virus immer erkannt, dann auch gelöscht, aber beim nächsten rechnerstart war er wieder in vollster präsenz da.

zuletzt habe ich versucht, die dateien im adaware zu löschen, statt in quarantäne zu schieben, und siehe da - ich kann nicht mehr auf meine hdds zugreifen. wohl dank der gelöschten smss.exe?


nun habe ich nur noch die hoffnung, dass ihr mir helft.


1. ich habe das crap - weg prog laufen lassen.

2. dann habe ich den fullscan mit Anti-Malware laufen lassen, hier ist der report:



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2843
Windows 5.2.3790 Service Pack 2

22.09.2009 21:42:17
mbam-log-2009-09-22 (21-42-17).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 382943
Laufzeit: 1 hour(s), 25 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162} (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runonce (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> Quarantined and deleted successfully.
C:\Funny UST Scandal.avi.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Funny UST Scandal.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully.





3. und nun noch der scan mit dem hijackthis:

EDIT: leider läuft HijackThis bei mir nicht (winxp 64 mit sp2)

Fehlermeldung:
Line -1:
Error: Variable used without being declared


4. ich habe vorher noch ad aware laufen lassen, der hat ZUDEM folgendes gefunden:


c:\windows\killer.exe

diese datei hat der Anti-Malware wohl nicht gefunden....



es wäre wirklich super, wenn mir jemand helfen könnte. bin total am verzweifeln.

lieben dank (schon etwas ermüdet vom kampf)


rockmachine

Hallo und

Eins vorweg: viele "Standardprogramme" die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64 Bit Windows NICHT kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Bitte mal Logfiles mit OTL erstellen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hi und vielen dank für deine bemühung. echt sehr nett.


ich hab das prog mal laufen lassen:


EXTRAS.TXT

edit: leider kann ich nicht beide hier posten.

ich werde sie eben verlinken.

Der Text, den Sie eingegeben haben, besteht aus 83901 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

extras.txt:

http://www.foemcrew.zigarettenasche.de/Extras.Txt



otl.txt

http://www.foemcrew.zigarettenasche.de/OTL.Txt

Äh sry, mein fauxpas
Ich seh da viel Zeichenbrei in Deinen verlinkten Logs. Könntest Du bitte beide Logs in eine Datei zippen, bei file-upload.net hochladen und hier verlinken?

hi,

hab dir pdfs gemacht:

http://www.foemcrew.zigarettenasche.de/Extras.pdf

http://www.foemcrew.zigarettenasche.de/OTL.pdf

sorry und danke ob der mühe...

Äh sorry...
Textdateien wären mir schon lieber. Am besten originale Logfiles, gepackt

ich hoff mal, die hier gehn

http://www.foemcrew.zigarettenasche.de/logs.zip

Code: Alles auswählenAufklappen

ATTFilter

1023,37 Mb Total Physical Memory | 457,64 Mb Available Physical Memory | 44,72% Memory free
         

Hier müsste ich schonmal nachhaken: Warum denn ein 64 Bit System wenn Du nur 1 GB RAM hast? Wirklich Sinn machen 64 Bit Systeme erst, wenn man 4 GB und mehr RAM drin hat, die wirklich brauchst und die verwendeten Programme auch 64 bittig sind....

hi,

da hast du sicherlich recht, da leidet auch die performance. dennoch ist es der einzige rechner, den ich derzeit besitze. und mir fehlen die mittel wie die zeit, etwas an dieser config zu ändern.

gibt es deiner meinung nach eine chance, die kiste wieder zu kurieren´von dem virus?

ich freu mich auf ne antwort

lg

Mir fehlt leider etwas Erfahrung mit 64 Bit Windows...
V.a. wird's da schwierig mit der Bereinigung weil da ja schon wie erwähnt die meisten Tools nicht funktionieren.

Du hast da eh ziemlich viel Quatsch drauf, vllt solltest Du daher eher mal eine Neuinstallation (32 Bit WinXP?) in Angriff nehmen. Ist deutlich gründlicher und wahrscheinlich auch schneller.

//Edit

Werte die killer.exe aber bitte mal aus:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\killer.exe
         

hmm das problem ist, dass die datei nicht auffindbar ist. auch wenn ich einschalte, dass ich alle dateien sehen kann.

hast du denn so ca. eine ahnung, in welche richtung ich gehen kann, oder wie der virus überhaupt heisst? wenn ich die dateinamen google, dann finde ich tausende von einträgen, die alle irgendwas anderes erzählen..

der ad aware hat folgendes gefunden:

killer.exe

sowie 3 regisitrierungseinträge


leider kann man aus dem ad aware nix rauskopieren, was für ein mieses tool


oder kennst du eventuell jemanden, der mir helfen könnte? ich bin schier am verzweifeln

lg und danke für deine mühe

Wie ich schon schrieb, ist das Bereinigen unter 64 Bit Windows ziemlich sch....

Undoreal erwähnte noch den ESET SysInspector. Wenn Du magst, Anleitung weiter unten.

Andere Möglichkeit wären noch Rettungs-CDs zB von Kasperksy, Avira oder sowas wie Knoppicillin. Ist aber auch mehr Glücksrad, man muss "hoffen", dass alle Schädlinge erwischt werden, man kann nicht gezielt aus den Logs gefundene Schädlingsdateien/-einträge löschen, weil ja eben in 64 Bit Umgebung die Tools nicht laufen


ESET SysInspector logfile

• Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
  
• Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
  
• Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
  
• Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
  
• Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
  
• Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.
  
  
  .
  
• Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei file-upload.net hoch und postest mir den Downloadlink

danke dir.

ich hab dir det janze als pm geschickt. da steht ja doch einiges drinne

Jo habs gesehen. Wird aber dauern bis ich da durchgestiegen bin, das Programm hat mir undoreal eben erst genannt.

Was sagst Du zum Thema Formatieren und Neuaufsetzen auch bzgl. der Problematik mit den Tools in 64 bittigen Umgebungen? Das wird sehr viel schneller gehen als klioweise Logfiles auszuwerten und danach ein ungewisses Ergebnis (sauber oder nicht?) zu haben