Hi,

ja, sieht gut aus.

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr /v Start /t REG_DWORD /d 0x0 /f
net stop RDSessMgr
net user HelpAssistant /delete >nul 2>&1
net localgroup Administratoren HelpAssistant /delete >nul 2>&1
attrib -s -h -r C:\docume~\HelpAssistant\* /s /d
del /s/q C:\docume~\HelpAssistant\*.*
rmdir /s/q C:\docume~\HelpAssistant
C:\mbr -f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-1006" /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d ^%systemroot^%\System32\termsrv.dll /f
exit
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Führe die Datei per Doppelklick aus.

MfG Kathrin

OK Kathrin,

ist gemacht. Und jetzt? Alles klar?

Gruss,
Winfried

Hi,

wir sind fast durch. Wie verhält sich das System denn jetzt?

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
net user > log.txt
reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt
reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f
reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f
log.txt
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste mir den Inhalt des Textdokuments.

Mache bitte auch noch nen scan mit Eset:

• ESET Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Den Haken bei "Remove found threads" nicht setzen und bei "Scan archives" setzen.
  • Start drücken.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MfG Myrtille

Hallo!

Sorry, war sehr beschäftigt, darum erst jetzt das Log:

Code: Alles auswählenAufklappen

ATTFilter

Benutzerkonten f�r \\NOTEBOOKC2D

-------------------------------------------------------------------------------
Administrator            ASPNET                   Gast                     
Hilfeassistent           SUPPORT_388945a0         Winfried                 
Der Befehl wurde erfolgreich ausgef�hrt.


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
    ServiceDll	REG_EXPAND_SZ	\System32\termsrv.dll
         

ESET kommt gleich.

Gruss,
Winfried

So, also ESET hat seine Arbeit jetzt beendet und "no threats found" angezeigt. Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16981 (vista_gdr.091215-2244)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=5d585ca00442934eb0dec660b775335e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-03-21 10:50:10
# local_time=2010-03-21 11:50:10 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 187778 187778 0 0
# compatibility_mode=1797 16775125 100 100 51427 68698993 31209 0
# compatibility_mode=8192 67108863 100 0 3743 3743 0 0
# scanned=77925
# found=0
# cleaned=0
# scan_time=8277
         

Heisst das nun: "alles wieder klar"?

Und noch eine letzte Frage: Ich habe ja noch einen weiteren Rechner an meinem LAN. Wie stelle ich fest, dass dieser nicht auch diese Probleme hat? Reicht Malwarebytes oder soll ich da auch mal ESET drüberlaufen lassen? Bitte um Rat!

Vielen Dank für die extensive Hilfe und beharrliche Problembearbeitung!

Beste Grüsse,
Winfried

Hi,

ja das sieht nach klar schiff aus! Freut mich, dass der PC wieder läuft.

Lass neben Malwarebytes auf dem anderen Rechner auch noch folgende Batch laufen und ich kann dir dann sagen ob diese auch von dem MBR Rootkit befallen sind:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
net user > log.txt
reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt
log.txt
         

Poste das erstellte Log hier in den Thread.

Ein zusätzlicher Scan mit Eset ist in der Regel nicht zwingend notwendig, kann aber auch nicht schaden.

lg myrtille

Hier der Log meines zweiten PCs, der am Netzwerk dranhängt. Mir kommt es sauber vor.

Code: Alles auswählenAufklappen

ATTFilter

Benutzerkonten f�r \\NOTEBOOKP4P

-------------------------------------------------------------------------------
Administrator            Gast                     Hilfeassistent           
SUPPORT_388945a0         SUPPORT_3f151ab9         Winfried                 
Der Befehl wurde erfolgreich ausgef�hrt.


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
    ServiceDll	REG_EXPAND_SZ	%SystemRoot%\System32\termsrv.dll
         

Malwarebytes muss ich noch laufen lassen.

Gruss,
Winfried

Hi,

das sieht gut aus.

MfG myrtille

So, das wäre dann also geschafft!

Ich bedanke mich bei allen Helfern, die mich durch diesen "Dschungel" geleitet und letztendlich das Problem beseitigt haben! SUPER gemacht



Winfried
PS: Das Thema kann als "erledigt" markiert werden.

Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille

Zitat:

Zitat von myrtille

Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille

Sorry, in Deinem Satz fehlt irgendwie das entscheidende Wort...
Gruss,
Winfried

Hi,

das kann eigentlich gar nicht sein. Ich vergesse nie was.

Zitat:

du kannst die programme die wir benutzt haben entfernen, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach von hand entfernen.

lg myrtille