Hallo zusammen,

ich habe mir heute nachmittag anscheinend den "Windows System Defender" eingefangen (plötzliches Aufpoppen falscher Sicherheitshinweise). Und auf einmal ging auch mein Avira Antivirus nicht mehr. Konnte es auch nicht neu installieren oder deinstallieren, da immer der Hinweis kam "Die CRC-Summe von C:\Programme\Avira\Antivir PersonalEdition Classic\SETUP.EXE wurde verändert. Dies könnte von einem Virus verändert worden sein!"

Daraufhin habe ich jetzt 2 mal Malwarebytes durchgeführt und die Dateien anschließend gelöscht - die Logfiles dazu liegen hier:
http://www.file-upload.net/download-1983694/mbam-log-2009-11-01--17-41-52-.zip.html.

Ich habe allerdings den Eindruck, dass der Computer immer noch nicht richtig läuft (langsame Downloads und ab und zu poppen noch komische Werbefenster auf). Außerdem habe ich gesehen, dass ich die Datei "reader_s.exe" auf dem Computer habe, was wohl auch kein gutes Zeichen ist...?
Habe deswegen hier jetzt mein Logfile von Hijack geposted und hoffe, mir kann jemand weiterhelfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:41, on 01.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Videoload Manager\ContentManager.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Webshots\webshots.scr
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\hxxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.starbarsearch.com/?useie5=1&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.starbarsearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: GoogleAFE - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\GoogleAFE.dll
O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Programme\Webshots\WSToolbar4IE.dll
O3 - Toolbar: (no name) - {68F28680-9343-4321-8599-4D999B1FDAA8} - (no file)
O3 - Toolbar: (no name) - {7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE} - (no file)
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\hxxx\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Programme\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O17 - HKLM\System\CCS\Services\Tcpip\..\{C015E951-18F3-488A-BD5B-A6A6153C2BA0}: NameServer = 213.191.92.87 62.109.123.6
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Content Management Service (ContentMgrService) - ACE GmbH - C:\Programme\Videoload Manager\ContentManager.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Update Service (gupdate1c999b517479ace) (gupdate1c999b517479ace) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe

--
End of file - 8304 bytes


Vielen Dank im Voraus!!!

Halli hallo.

Arbeite bitte das hier ab:
http://freenet-homepage.de/rene-gad/...Anleitung.html
Die beiden AVZ .zip log Dateien lade bitte bei rapidshare hoch und poste uns den downloadlink.

Hallo,

habe die AVZ Anleitung soweit möglich befolgt.

Da der dort angegebene Link bei mir nicht funktionierte (komme derzeit einfach nicht auf die Onlineseiten von diversen Antivirus-Anbietern), habe ich die Software File von AVZ in der 4.32.0.0 Version bei Softpedia.com runtergeladen und die Updates durchgeführt. Bei dieser Version hieß dann der Punkt 3. bei Standard Scripts nicht "Healing/Quarantine and Advanced System Analysis" sondern "Advanced System Analysis with malware removal mode enabled", aber ich hoffe mal, das macht keinen weiteren Unterschied.

Unter den Links hier sind jetzt auf jedenfall die .zip Log Dateien, die man erhält, wenn man die Anleitung bis Punkt 10. befolgt:

http://rapidshare.com/files/301603894/virusinfo_syscure.zip.html
http://rapidshare.com/files/301604195/virusinfo_syscheck.zip.html

Hoffe, sie geben hilfreichen Aufschluss?

Außerdem generiert das Programm noch eine Datei mit dem Namen virusinfo_cure.zip? Weiß nicht, ob die auch noch interessant ist?

Vielen Dank & Grüße.

Lade die virusinfo_cure.zip bitte auch hoch.

Du hast Combofix laufen lassen? Solche Infos musst du uns zukommen lassen!
Bitte ComboFix entfernen: Start --> Ausführen -->Kopiere rein

Zitat:

Combofix /u

Bei dir läuft ein Rootkit. Wir werden jetzt erstmal die Maskierung aufheben.


Führe mit AVZ folgendes Skript aus (File -> Custom Skript):

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE}');
 DelBHO('{68F28680-9343-4321-8599-4D999B1FDAA8}');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('C:\WINDOWS\Installer\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}\QTPlayer.ico');
 DeleteCLSID('95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC');
 DeleteFile('C:\WINDOWS\System32\tssdis.exe');
 DeleteFile('C:\WINDOWS\system32\10.tmp');
 DeleteFile('mvfs32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','30334');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
         

Hallo,

sorry, dass mit dem ComboFix wusste ich nicht, bzw. hatte ich vor einiger Zeit mal installiert und jetzt aber nicht mehr daran gedacht!

Werde erst heute abend wieder an meinem Computer sein. Und dann den Link zur cure.zip Datei schicken, Combofix entfernen und versuchen das Script durchzuführen.

Nehme an, ich muss dann einfach die Befehle bei AVZ reinkopieren?
Bekomme ich dann im Anschluss irgendeine Art Ergebnis, das ich nochmal posten soll?

Vielen Dank & bis später.

Das Skript musst du über die "Custom Skript" Funktion ausführen. Die findest du im "File" Menü.

Nachdem du das Skript, ausgeführt hast und CF deinstalliert hast lasse bitte den CCleaner laufen (Punkte 1&2).
Starte das System neu und erstelle anschließen abermals die beiden AVZ logs und poste diese.

Poste außerdem eine Beschreibung wie es deinem Rechner geht.

Combofix habe ich deinstalliert, dabei kam gleich eine Warnung, dass der Real-Time Scanner "Windows System Defender" noch aktiv ist....

Allerdings konnte ich das Script nicht ausführen. Dort scheint noch ein Fehler drinnen zu stecken. Zumindest bekomme ich folgende Error Meldung:
"Script error: Undeclared identifier: 'DeleteCLSID', position [8:13]" ?

Der Windows System Defender ist RougWare! Einfach ignorieren.

Konnte CF denn deinstalliert werden?

Neues Skript:

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE}');
 DelBHO('{68F28680-9343-4321-8599-4D999B1FDAA8}');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('C:\WINDOWS\Installer\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}\QTPlayer.ico');
 DeleteFile('C:\WINDOWS\System32\tssdis.exe');
 DeleteFile('C:\WINDOWS\system32\10.tmp');
 DeleteFile('mvfs32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','30334');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
         

Ja, habe ich auch ignoriert und Combofix hatte sich dann auch glücklicherweise deinstalliert.

Die neue Version des Scripts hat funktioniert und ich habe es laufen lassen.
Anschließend dann nochmal den CC Cleaner und daraufhin dann AVZ. Die resultierenden Logs, plus das cure.zip sind dann hier:

http://rapidshare.com/files/301993769/virusinfo_syscure.zip.html
http://rapidshare.com/files/301993561/virusinfo_syscheck.zip.html

http://rapidshare.com/files/301993829/virusinfo_cure.zip.html

Zum Computer: also, ich habe seit dem ersten Post versucht den Computer so wenig wie möglich zu nutzen. Habe aber den Eindruck, dass der Computer sich ungefähr jedes 2-3 Starten nicht richtig hochfährt - sehe dann nur den Deskopthintergrund, aber keine Windowsoberfläche, abgelegte Ordner, Verknüpfungen, etc. Muss dann nochmal neu starten (über An/Aus-Taste), wobei der Computer erstmal immer nur in Standby geht.
Dann fragt er inzwischen jedesmal nach dem hochfahren die "Anmeldung" ab. Hat er sonst nie gemacht. Ich klicke aber immer nur "ok" ohne das Kennwort einzugeben.
Außerdem bekomme ich nach dem Start immer den Hinweis: "Datenausführungsverhinderung" der Windows-Anmeldebenutzeroberfläche und dass das Programm geschlossen wurde. Wenn ich die Meldung schließe, kommt der Hinweis, dass die logonui.exe einen Fehler ermittelt hat und beendet werden muss. Wenn ich das wiederum schließe, erfolgt wieder der erste Hinweis, dann wieder die Sache mit der logonui.exe, und soweiter und so fort....deswegen bleibt ein Hinweis-Fenster derzeit immer offen.

Ansonsten habe ich den Eindruck, dass der Computer noch etwas langsam ist, was das Surf-Verhalten im Internet angeht. Und auf Seiten von Kaspersky, Symantec und ähnliche komme ich immer noch nicht. Wobei ich auf free-av.com wiederum gehen kann.

Durch das weiteres Lesen von anderen Posts hier im Forum ist mir noch eingefallen, dass auch bei mir Firefox zuvor öfter plötzlich abgestürzt ist (scheinbar ohne Grund, wenn ich z.B. eine neue Internetseite geöffnet habe) und sich dann zuletzt auch teilweise auf einmal 3 neue Seiten bzw. Tabs geöffnet haben. Falls das irgendwie relevant sein sollte....

Weiterhin vielen Dank für´s Bearbeiten meines Falls!

Die Maskierung der Systemprozesse haben wir jedenfalls erwischt

Deaktiviere nun bitte die Systemwiederherstellung auf allen Laufwerken: http://www.systemwiederherstellung-deaktivieren.de

Führe danach folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
 DeleteFile('C:\WINDOWS\system32\reader_s.exe');
 DeleteFile('C:\Dokumente und Einstellungen\homy\restorer32_a.exe');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('brastk.exe');
 DeleteFile('C:\WINDOWS\system32\12.tmp');
 DeleteFileMask('%Tmp%', '*.*', true);
 DeleteFileMask('C:\Windows\System32\', '*.tmp*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\homy', '*.tmp*', true);
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DeleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
         

Erstelle danach wie immer zwei neue logs und poste wie der Status des Rechners ist.

Na, das hört sich doch zumindest schonmal nach einem ersten Erfolgserlebnis an!

Auf den Link konnte ich leider nicht zugreifen - die Seite wird geblockt, wie nachwievor die Seiten von Symantec, Kaspersky, Microsoft und co.

Habe jetzt die Deaktivierung aller Festplatten ganz normal im Windows Explorer über Systemsteuerung, System, Systemwiederherstellung vorgenommen. Hoffe, das reicht so aus?

Danach das Script durchgeführt und anschließend die AVZ Logs erstellt und angehängt.

Ansonsten zum Verhalten: inzwischen wurde mein Desktophindergrundbild gelöscht (jetzt blauer Hintergrund), aber die im letzten Post erwähnten Windows-Hinweise erscheinen nicht mehr. Ich werde nach dem Starten immer noch nach der Anmeldung gefragt, aber die letzten 3-mal ist der Computer ohne Probleme gestartet!
Geschwindigkeit erscheint soweit normal. Diese 3 Pop-up-Seiten tauchen immer noch auf, irgendwie erscheinen dabei dann teilweise Tabs von Seiten die man davor gegoogelt hat, bzw. versucht hat aufzurufen (z.B. bei mir die oben genannten, nicht erreichbaren Seiten).

PS: Zur Info - hatte gestern auch noch ein Programm deinstalliert (Webshots), dass ich nur einmal benutzt hatte. Falls das in den Logs einen Unterschied machen sollte.

Führe bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('PDCOMP.sys');
 DeleteFile('PDFRAME.sys');
 DeleteFile('PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDCOMP.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDFRAME.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\'PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xisbcom');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qplsec');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-4433933670-8917455761-388079102-3664\yv8g67.exe');
 BC_DeleteFile('C:\WINDOWS\system32\iomssls.exe');
 BC_DeleteFile('C:\WINDOWS\system32\velplsme.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opqlsys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(19);
BC_Activate;
RebootWindows(true);
end.
         

Und suche bitte wie in der AVZ Anleitung beschrieben wird nach folgender Datei:

Zitat:

explorer.exe

Mache einen Screenshot von den Funden und hänge die Bild Datei hier an.

Poste wie immer zwei neue logfiles und eine Beschreibung noch verbleibener Probleme.

Kann leider das Script nicht ausführen, da ich folgende Error-Meldung bekomme:
Script error: ')' expected, position [12:43]

Korrigiertes Skript:

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('PDCOMP.sys');
 DeleteFile('PDFRAME.sys');
 DeleteFile('PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDCOMP.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDFRAME.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xisbcom');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qplsec');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-4433933670-8917455761-388079102-3664\yv8g67.exe');
 BC_DeleteFile('C:\WINDOWS\system32\iomssls.exe');
 BC_DeleteFile('C:\WINDOWS\system32\velplsme.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opqlsys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(19);
BC_Activate;
RebootWindows(true);
end.
         

Hi - das hat leider nicht funktioniert!

Habe das neue Skript ausgeführt. Kurz nach dem Neustart kam dann eine Meldung, dass irgendwas mit einer .tmp-Datei nicht in Ordnung ist und als ich dann versucht habe eine Verbindung zum Internet herzustellen, ist der Computer abgestürzt!
Als ich versucht habe ihn wieder zu starten, hat er es nicht mehr geschafft, sondern der Bildschirm ist dann schwazr geblieben. Der Computer versucht dann einige Zeit später von alleine wieder neu zu starten, aber er kommt irgendwie nicht weit. Dann wieder Schwarzbild, etwas später wieder ein Startversuch etc. Er hängt in einer Schleife und kommt nicht raus.
Durch An/Aus-Knopf kann man ihn ganz ausmachen und dann im abgesicherten Modus starten. Aber nur im MS-DOS Interface....?

Ist jetzt alles hinüber oder gibt es noch eine Möglichkeit die Sache zu retten?