Hallo

Vorab: ich habe 2 Computer davon NR.1 mit internet anschluss der andere(PC2) ohne
(beide infizirt)

ich habe ein oder besser gesagt zwei probleme
bei mir im internat hat sich vor ungefär einem jahr das copy exe virus (perlovga typ a) eingenistet. ich habe mich informirt (internet) wie ich dises virus runterschmeisse das hatt auch bis vor kurzem funktioniert.

Vorher habe ich es genauso gemacht wie hier beschrieben:
h*tp://iph24.de/copyexe.pdf

nacher(jetzt):

Symptome:


-jedesmal wenn ich den pc hochfahre kommt der windows installer und will irgendwas mit einer nicht installirter hardwarekomponente - ich würde den text ja

kopiren aber das steht mir in den optionen (rechstklick) nicht zur verfügung (nur pc1)

-wenn ich etwas runterlade und ich fertig bin kommt folgende meldung: Die Programmdatei /usr/bin/clamscan wurde nicht gefunden.
Stellen Sie sicher, dass ClamAV/ClamWin ordentlich installiert ist und überprüfen Sie die Fireclam-Einstellungen.

-Ich kann den virus löschen sooft ich will er kommt bei jedem neustart oder einstecken eines wechseldatenträgers umgehend in der registri (mountpoints2)

zurück
(gilt für Beide Computer)


-Ich finde keine autorun.inf datei zum löschen (nur PC2)
bei PC1 habe ich den "Flash_disinfector" gestartet (hab leider kein link)
dadurch wurde eine autorun.inf datei erzeugt, die ich aber nicht löschen kann

-das programm "dr.delete" wurde automatisch auf beiden Computern gelöscht

-neuinstallation von avira, bitdevender konnte ich nur über einen USB stick starten
(beide Computer)

-ich habe das PRT Tool

(h*tp://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml)

durchlaufen lassen, dadurch wurden aber auch alle anderen unterordner in "mountpoints2" gelöscht nach einer halben stunde ist der pc einfach ausgegangen und

lies sich erst am nächsten morgan wieder starten, die ordner waren dan wieder da sammt virus(nur pc2)

-beim computer 1 habe ich eine extreme verlangsamung bemerkt, er braucht 10 min. um firefox zu starten. bei computer 2 ist mir das noch nicht aufgefallen

-hier nun die ergebnise des malware testers
(pc1 ohne wechselmedien)
(pc2 mit allen wechselmedien, ich hoffe die wurden mit gescannt)

PC1:


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3954

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.04.2010 20:28:09
mbam-log-2010-04-04 (20-28-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147809
Laufzeit: 19 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\Programme\SpywareRemover\SpywareRemover.exe (Rogue.Spyware.Remover) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spywareremover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Log (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Settings (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\svchosptd.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\rs.dat (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Log\2010 Apr 04 - 05_23_22 PM_375.log (Rogue.Spyware.Remover) -> Quarantined and

deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Settings\ScanResults.pie (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Programme\SpywareRemover\DataBase.ref (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\SpywareRemover.exe (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\SpywareRemover.url (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\vistaCPtasks.xml (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover\SpywareRemover on the Web.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover\SpywareRemover.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Programme\Gemeinsame Dateien\System\ado1.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\SpywareRemover.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\SpywareRemover Scheduled Scan.job (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.





Pc2:

hier hatt der pc(von aleine!?) das log gelöscht ich habe es deswegen nochmal aufgestellt(sieht leider anders aus als das erste (das erste war viel länger):

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3954

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.04.2010 20:28:09
mbam-log-2010-04-04 (20-28-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147809
Laufzeit: 19 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\Programme\SpywareRemover\SpywareRemover.exe (Rogue.Spyware.Remover) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spywareremover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Log (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SpywareRemover\Settings (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\svchosptd.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\SpywareRemover\rs.dat (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\SpywareRemover\Log\2010 Apr 04 - 05_23_22 PM_375.log (Rogue.Spyware.Remover) -> Quarantined and

deleted successfully.
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\SpywareRemover\Settings\ScanResults.pie (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Programme\SpywareRemover\DataBase.ref (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\SpywareRemover.exe (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\SpywareRemover.url (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Programme\SpywareRemover\vistaCPtasks.xml (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover\SpywareRemover on the Web.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareRemover\SpywareRemover.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted

successfully.
C:\Programme\Gemeinsame Dateien\System\ado1.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\SpywareRemover.lnk (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\SpywareRemover Scheduled Scan.job (Rogue.Spyware.Remover) -> Quarantined and deleted successfully.



da der langsame pc sehr viel schneller geworden ist denke ich das das programm einen teil des virus gelöscht oder unschädlich gemacht hat
deswegen nocheinmal die logfiles:
und die symptome:

-jedesmal wenn ich den pc hochfahre kommt der windows installer und will irgendwas mit einer nicht installirter hardwarekomponente - ich würde den text ja

kopiren aber das steht mir in den optionen (rechstklick) nicht zur verfügung (nur pc1)
-manche datenträger erscheinen im arbeitsplats als ordner
-im task manager sind "svchost" prozzesse die ich dort noch nie gesehen habe (c.a. 6-10 X)
-wenn ich etwas runterlade und ich fertig bin kommt folgende meldung: Die Programmdatei /usr/bin/clamscan wurde nicht gefunden.
Stellen Sie sicher, dass ClamAV/ClamWin ordentlich installiert ist und überprüfen Sie die Fireclam-Einstellungen.

PC1:


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3954

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.04.2010 22:36:56
mbam-log-2010-04-04 (22-36-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147497
Laufzeit: 20 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Melanie\Lokale Einstellungen\Temp\531.exe (Trojan.Palevo.Gen.B2) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melanie\csrss.exe (Trojan.Palevo.Gen.B2) -> Delete on reboot.

PC2:


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930
-wenn ich etwas runterlade und ich fertig bin kommt folgende meldung:
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.04.2010 22:22:23
mbam-log-2010-04-04 (22-22-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122646
Laufzeit: 6 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich habe im internet gelesen (link kenne ich leider nicht mehr) das sich, wenn man nichts dagegen tut, daas virus immerweter hineinfrisst und irgendwann die windows anmeldung nicht mehr funktioniert

desweiteren habe ich in dem oben genannten dokument gelesen das eine verbreitung über das lokale netzwerk sehr wahrscheinlich ist
ist damit gemeint das wenn 2 computer den selben router nutzen der andere das virus sofort kriegt??
Ich habe ALLES was mir irgendwie aufgefallen ist hier rein geschrieben in der hoffnung es sind nützliche informationen

ich hoffe ihr könnt mir helfen, ich bin am verzweifeln!


Vielen dank schonmal im vorraus

http://www.trojaner-board.de/69886-a...-beachten.html beachten und abarbeiten. Beim Scan mit Malwarebytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )
Windows Vista und Windows 7 Benutzer per rechtsklick ausführen, als administrator ausführen.nstalliert

Zitat:

Zitat von counter

http://www.trojaner-board.de/69886-a...-beachten.html beachten und abarbeiten. Beim Scan mit Malwarebytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )
Windows Vista und Windows 7 Benutzer per rechtsklick ausführen, als administrator ausführen.nstalliert

habe ich alle an pc2 angeschlossen

hi,

ich habe heute folgende meldung einer testsoftwear von ashampo(oder so ähnlich) bekommen:[IMG]C:\Dokumente und Einstellungen\Melanie\Desktop[/IMG]
habe ich mit meinem handy fotografiert

die meldung kam von pc1 (das war der mit internet)
auf dem habe ich aus verzweiflung jede menge free antiviren/trojaner softwear installiert

das mit dem bild hat leider nicht geklappt

gibt es einen weg bilder hir rein zu stellen???