Hallo liebe Leute,
gestern habe ich mir den Antimalware Doctor eingefangen. Ich habe dann die Löungsvorschläge von diesem Forum angesehen. Habe dann das ein oder andere versuchen wollen, musste aber feststellen, dass ich plötzlich keine Adminrechte mehr hatte. Ich konnte nicht in die Registry, die Ordneroptionen in Systemsteuerung waren verschwunden und ebenfalls in den Extras der Ordner auch verschwunden. Dadurch konnte ich keine unsichtbaren Dateien sichtbar machen. Ebens konnte keine Systemwiederherstellung ausgeführt werden. Offenbar hat sich der Virus noch ein paar neue Eigenschaften zugelegt, die hier bisher nicht beschrieben waren.
Ich habe dann über McAffe kostenpflichtig den Rechner online säubern lassen. Das sah auch sehr gut aus. Allerdings habe ich gesehen, dass noch einige Dateien mit dem icon von AntiMalware Doctor assoziert geblieben sind. Es hatte aber keine Auswirkungen. Dann aber startete, als ich heute morgen wieder ins Web ging, plötzlich wieder die Seite, die den simulierten Virenscan zeigt. Ich habe dann ausgestöpselt, den Rechner runtergefahren und neu gestartet. McAfee Scan hat vorher und danach keinerlei infizierte Dateien gemeldet. Wie kommt der Browser dazu, plötzlich wieder zu dieser Seite zu gehen? Wo können trotz aller Reinigung noch Dateien stecken? Mit welchem Vierenprogramm kann ich ganz sicher gehen, dass wirklich ALLES aufgespürt und gelöscht wird? Beste Grüße und allerbesten Dank im voraus,
Andreas

Hallo und

Zitat:

Mit welchem Vierenprogramm kann ich ganz sicher gehen, dass wirklich ALLES aufgespürt und gelöscht wird?

Das geht prinzipiell schonmal nicht. Virenscanner entdecken wenn überhaupt nur bekannten Schadcode. Man kann Deine Kiste besser mit speziellen Tools und der Auswertung von Logfiles und gezielten Löschungen bereinigen, aber ganz sicher ist nur ein format c: - entscheide Dich ob format c: oder weitere Bereinigung.

Hallo Arne,
danke für deine Einschätzung. Noch sträubt sich in mir alles, den Rechner platt zu machen. Neben der extrem vielen Arbeit die das bei mir bedeutet und den Verlust zahlreicher wichtiger Programmeinstellungen, ist mein Hauptbedenken: Ich habe von der Partition C und E Dateiordner auf externe Festplatten gesichert. Ich könnte C und E plattmachen. Besteht aber die Möglichkeit, dass sich der Antimaleware Doctor auch in Dateiordnern einnistet bzw. auf anderen Laufwerken? Dann nützt mir die Formatierung auch nichts, da ich meine Daten in jedem Fall verwenden muss. Gibt es da Erfahrungen?

Vorerst habe ich einen Scan mit Malwarebytes' Anti-Malware 1.46 gemacht. Die Logfiles poste ich mal hier. Kenne mich nicht genug aus, um das genau zu beurteilen. Hat noch so einiges gefunden, was McAffee nicht gemeldet hat.

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Database version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

29.04.2010 23:23:28
mbam-log-2010-04-29 (23-23-28).txt

Scan type: Quick scan
Objects scanned: 122881
Time elapsed: 9 minute(s), 32 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{9b8a9789-5785-44dc-97b2-5a13120e43bb} (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\zfjlintm.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\k1ENVRYw.exe.part (Trojan.Downloader) -> Quarantined and deleted successfully.

Fullscan
30.04.2010 01:34:11
mbam-log-2010-04-30 (01-34-11).txt

Scan type: Full scan (C:\|E:\|)
Objects scanned: 264693
Time elapsed: 2 hour(s), 0 minute(s), 20 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 19

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\TypeLib\{76826d50-f6eb-43a0-bc6d-4f43479ca75b} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{14ccae4c-2770-411d-ba7b-e3e368d735d1} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{31cf6b1d-365a-418b-8792-3e95172e4204} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{98e41976-b4e5-4499-a77d-df13f8651c15} (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Windows Server\yesybr.dll (Trojan.Small) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2FE0F2C5D7376E0A589A189EA4287D90\newupdate1142c .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2FE0F2C5D7376E0A589A189EA4287D90\newupdate1142c .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2FE0F2C5D7376E0A589A189EA4287D90\newupdate1142c.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Creative\MediaSource\Detector\ctdetect.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\PeaZip\res\lpaq\lpaq5.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\QuickTime\qttask.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\McAfee.com\Agent\mcagent.exe.delme156 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Beste Grüße,
Andreas

Zitat:

Besteht aber die Möglichkeit, dass sich der Antimaleware Doctor auch in Dateiordnern einnistet bzw. auf anderen Laufwerken? Dann nützt mir die Formatierung auch nichts, da ich meine Daten in jedem Fall verwenden muss.

Datendateien sind idR immer ungefährlich, aufpassen muss man nur bei ausführbaren Dateien. Die die Hersteller aber auf immer beklopptere Idee kommen, muss man aber mittlerweile auch stark bei zB PDF-Dateien aufpassen, denn es gibt bereits Spammails mit PDF-Dateien, die Schadcode in Form von eingebetteten EXE Dateien oder Scripts drin haben...

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

[QUOTE=andreas2;521791]Hallo Arne,
danke für deine Einschätzung. Noch sträubt sich in mir alles, den Rechner platt zu machen. Neben der extrem vielen Arbeit die das bei mir bedeutet und den Verlust zahlreicher wichtiger Programmeinstellungen, ist mein Hauptbedenken: Ich habe von der Partition C und E Dateiordner auf externe Festplatten gesichert. Ich könnte C und E plattmachen. Besteht aber die Möglichkeit, dass sich der Antimaleware Doctor auch in Dateiordnern einnistet bzw. auf anderen Laufwerken? Dann nützt mir die Formatierung auch nichts, da ich meine Daten in jedem Fall verwenden muss. Gibt es da Erfahrungen?

Vorerst habe ich einen Scan mit Malwarebytes' Anti-Malware 1.46 gemacht. Die Logfiles poste ich mal hier. Kenne mich nicht genug aus, um das genau zu beurteilen. Hat noch so einiges gefunden, was McAffee nicht gemeldet hat.

Hallo Arne,
wollte gerade fragen, ob man nicht aus den Logfiles informationen ziehen kann, um den Rechner weiter zu schädigen. Da habe ich schon den Hinweis im Forums gelesen, dass man die Pfade ändern soll. Ich kann leider meinen Beitrag nicht bearbeiten und die eingestellten Logfiles wieder löschen. Weiß nicht warum.
Bevor ich deinen Rat mit OTL folge, wollte ich noch fragen, ob es möglich ist, dass der Rechner angezapft wird, auch wenn man die Netzverbindung getrennt hat, nicht aber das Kabel herausgezogen hat. Man wird ja etwas paranoid nach so einem Virus, aber mein DSL Modem blinkt fleißig weiter obwohl ich die Verbindung getrennt habe. Erst wenn ich das Kabel herausziehe ist schluss.
Beste Grüße,
Andreas

Zitat:

ob man nicht aus den Logfiles informationen ziehen kann, um den Rechner weiter zu schädigen.

Nein, kann man so nicht. Es sei denn Dein voller Name steht da als Benutzername, das möchte man evtl nicht, aber das scheint hier nicht der Fall zu sein.

Hallo Arne,
habe OTL-Log gemacht. Es sind deart viele Informationen, dass es eine Weile dauert, bis ich die bearbeitet habe. Allerdings sind die Skrupel noch gewachsen, das öffentlich zu machen. Heute entscheide ich, ob ich den Rechner platt mache.
Vielen herzlichen Dank in jedem Fall für deine Unterstützung!
Beste Grüße,
Andreas

Zitat:

Es sind deart viele Informationen, dass es eine Weile dauert

Der Texteditor hat eine Ersetzen-Funktion, nur so als Tipp