Servus an alle Helfer,

leider lassen sich seit geraumer Zeit weder AniVir, Spybot, Adaware, CCleaner noch HijackThis-auch nicht im abgesicherten Modus-öffnen. HijackThis konnte auch nach Umbenennung der HijackThis.exe in test.com weder im Normal- noch im abgesicherten Modus gestartet werden. Stehe nun völlig auf der Seife und suche nach ehest möglicher Hilfe.

Besten Dank im voraus!

Na wenn sich gar nichts mehr machen läßt, kommst du um eine Neuinstallation wohl kaum herum.
Eine schwerwiegende Infektion scheint als Grund sehr warscheinlich.
Interessant wäre nun auf welchem Weg eine Infektion stattgefunden hat- damit man das künftig vermeiden kann.
Arbeitest du mit Administratorrechten??

1-ist Neuinstallation wirklich der einzige Ausweg oder gibt es Alternativen?
2-Habe ich nach einer Neuinstallation die Gewähr, dass die Trojaner/Viren dadurch enfernt werden?
3-ich arbeite ohne Administratorenrechte

Zitat:

3-ich arbeite ohne Administratorenrechte

Das kann auch schlicht & ergreifend an deinen fehlenden Adminrechten liegen, dass du keine Programme nutzen kannst.
Versuche mal Malwarebytes Antimalware umzubenennen auf iexplore.exe und lass sie mal laufen, wenn es dann nicht geht, dann liegt es wie gesagt an deinen fehlenden Ad-Rechten!

Es muss ja nicht immer zwingend an einen Virus liegen, sondern auch an Rechtebeschränkungen

Malwarebytes Antimalware wurde auf iexplore.exe umbenannt. Diese Programm läuft zur Zeit. Sollte ich die Auswertung hier reinstellen?

Japp, dann kann sich jemand dir widmen, falls etwas infiziertes gefunden werden sollte.

Der abgesicherte Modus wird immer mit "Adminrechten"ausgeführt.
Wenn selbst von hier aus kein Handeln mehr möglich ist, ist eine schwerwiegende Infektion warscheinlich.

Nachdem es auf AV Software ..... beschränkt ist, kann man einen Hardwaredefekt ausschließen.

Folgende Vorgangsweise habe ich durchgeführt:

1-abgesicherter Modus und Malwarebytes' Anti-Malware 1.41 mit komplettem Scan durchgeführt
2-Auswertung zu 99% Worm.Bagle (731 Dateien infiziert)
3-alle Funde erfolgreich gelöscht
4-rascher Scan durchgeführt-keine Funde mehr
5-Spybot auf normaler Win-Oberfläche de- und installiert, lässt sich jedoch wieder nicht wie sämtliche anderen AV-Programme und HijackThis starten.
Bitte um Rat.

DANKE!





Malwarebytes' Anti-Malware 1.41
Database version: 2861
Windows 6.0.6000 (Safe Mode)

26.09.2009 18:20:40
mbam-log-2009-09-26 (18-20-40).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 366753
Time elapsed: 49 minute(s), 9 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 731

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\111111s1ro1s1a (Worm.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sK9Ou0s (Worm.Bagle) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Windows\System32\drivers\down (Trojan.Downloader) -> Quarantined and deleted successfully.

Files Infected:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLNRGXZM\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLNRGXZM\b64_3[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLNRGXZM\b64_3[2].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WL93SK9V\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WL93SK9V\b64_3[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\111wfs1intwq.sys (HackTool.Agent) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\100296.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\1003640.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\100640.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\100703.exe (Worm.Bagle) -> Quarantined and deleted successfully.

...
...
...


Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\99593.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\99687.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\drivers\downld\99953.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\m\flec006.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Windows\System32\mdelk.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Windows\System32\wintems.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\down\446609.exe (Trojan.Packed) -> Quarantined and deleted successfully.

Hallo

Um es kurz zu machen.
Du musst neu aufsetzen

Der erste Grund :
dazu ist der Bagle. Diesen zu bereinigen geht, aber der Ausgang ist unklar und es hat die Zeit bewiesen, das es eher misslingt.

der zweite Grund:

Code: Alles auswählenAufklappen

ATTFilter

D:\Installationen\Programme\SWFnSlidePro_1_021\Key Gen\keygen.exe (Malware.Packer) -> Quarantined and deleted successfully.
         

Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf,
Anleitung zum Neu aufsetzten
Hier steht WARUM

... "dazu ist der Bagle. Diesen zu bereinigen geht, aber der Ausgang ist unklar und es hat die Zeit bewiesen, das es eher misslingt."

Sollte ich nicht einen Versuch wagen diesen zu bereinigen oder bleibt einfach eine Restgefahr, dass von aussen auf den Rechner zuzugriffen werden kann?

Hast du den zweiten Grund ebenfalls gelesen?

Bei illegalen Dateien ist uns der Support untersagt.

Ja, ich habe beide Punkte gelesen. Eine Emfehlung kann ich dir auch nicht herauslocken, wie ich an dieser Stelle vorgehen sollte?

Wenn nein hoffe ich auf Unterstützung bei einer Neuaufsetzung:
1-Ist durch die Neuinstallation der Wurm entfernt oder stört ihn das nicht?
2-Beim Kauf meines Pc´s (Fujitsu-Siemens)war keine Vista-CD dabei. Das System war bereits aufgespielt. Wie sollte ich daher beim Neuaufsetzen vorgehen? Diesen Punkt konnte ich bei der Anleitung nicht herausfinden.

Gruß und Dank aus dem nahen Südwesten!

P.S. Auswertung wurde editiert.

Zitat:

1-Ist durch die Neuinstallation der Wurm entfernt oder stört ihn das nicht?

Wenn du dies laut Anleitung, die Larusso dir gab tust ist der wech für immer udn ewig. Außer du holst ihn dir erneut *hust*

Du kannst dir von Fujitsu-Siemens einen Datenträger zuschicken lasen.
Das ist sogar kostenlos. Ich hätte so ein Ding da ;-)

Logisch ist nach einer Neuinstallation alles Schädliche erst mal weg- sofern man nicht einfach irgendwie drüberbügelt.
Gründlich wäre : Neu Partitioniern (damit wird das Dateisystem neu angelegt), formatieren und das OS neu aufsetzen.

Damit derartige Infektionen sich nicht wiederholen solltest du dein Sicherheitskonzept gründlich überdenken...