Hallo, ich habe gestern mein Avira Programm deinstalliert und wie vorgegeben meinen PC neugestartet, um danach Kaspersky zu installieren, was ja alles auch geklappt hat.

Aber als ich dann den Taskmanager öffnete, bemerkte ich das ein Task namens Avira.exe offen war.

Was mich sehr gewundert hat, also dachte ich mir schließ ich einfach den Prozess, aber als ich das tat öffnete sich gleicht danach dieser Task weitere drei mal und um so öfter ich es schloss, um so mehrfacher öffnete sich dieses Prozess.

Und kurz danach meldete Kaspersky das ein Programm namens versucht sich ins Password geschützte bereicht einzudringen, was mir dann schon sehr verdächtig kam.

Also suchte ich mir das entsprechende "Programm". Er befand sich im Pfad
C:\Users\***\AppData\Roaming\Avira\Avira.exe
Und hab die Datai in VirusTotal untersucht.

Danach versuchte ich das Programm bzw. den ganzen Ordner zu löschen was auch klappte aber Sekunden später erschien die Datei wieder.

Heute morgen habe ich mal wieder geguckt ob das Problem immer noch vorhanden ist und ja war es und sogar noch schlimmer ich habe gesehen das ein Programm namens svchos.exe in Download Ordner versteckt war mit den gleichen Symbol wie die Avira.exe.

PS: Merkwürdig war auch das ich die exe Dekompilieren konnte!

Was kann ich tun?

mfg. Kevin

Hallo,

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Ok hab ich (Anhang)

Hm..poste bitte mal ein GMER Log, da gibts Hinweise auf Rootkits.

Hab alles wie folgt gemacht als er dann beim suchen war bin ich kurz weg gegangen, als ich dann zurück kam stand dort das, das Programm nicht mehr reagieren würde. Ich konnte "Debuggen" oder "Abbrechen" ich brach ab als ich das dann wieder ausführen wollte kam der Bluescreen was sehr merkwürdig war, weil das bisher noch nie an diesem Laptop vor kam!

Was soll ich tun, nochmal versuchen?

Ja, probier einmal noch.

Schon wieder das gleiche Problem habe aber noch rechtzeitig ein Foto geschossen!

Das könnte an Win7 liegen.
Dann probier sonst mal RootRepeal:

• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.

Code: Alles auswählenAufklappen

ATTFilter

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
         

• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Ok das werde ich gleich machen, aber muss ich die gleichen Regeln wie davor beachten also Antivir aus und so?

Ja genau. Nur statt GMER eben rootrepeal.

Wenn ich das starte bzw. auch den scann starte kommt sofort diese Fehlermeldung (Anhang)

Hm okay. Dann führ mal bitte Malwarebytes und RSIT aus - poste die Logs.

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Vielen dank für deine Hilfe ich habs endlich (durch malwarebytes) geschafft
Und habe das Virus entfernt.
RSIT habe ich nicht gemacht ist aber jetzt auch nicht mehr nötig oder?
Und jetzt nur noch ne Frage nebenbei da du dich ja so gut auskennst

Ich habe mir ja Kaspersky geholt und der hat ja ne eigene Firewall.
Aus dem Grund habe ich die Private und Öffentliche Windows Firewall deaktiviert!
Ist das nötig?
Welche ist besser? (Windows vs Kaspersky)

Und noch was
Dieses Malwarebytes suchta ja sehr schnell und findet auch sehr viel, ist es dann überhaupt noch nötig mit Kaspersky eine Komplett Durchsuchung, die sehr lange dauert, zu machen?

Du sollst die Logs posten!!

So sieht mein Log jetzt aus (Anhang) oder willst du den Log bevor ich es gereinigt habe?