Hallo!
das ist mein erster post auf dem board.
erstaml RESPEKT wie hier geholfen wird.

hier mein problem:

hab mir gestern den Antimalware Doctor gefangen und folgendes gemacht:
SuperAntiSpyware installiert und gescannt
Malewarebytes Anti Malware installiert und gescannt
vorher mit rkill die Antimalware Doctor prozesse unterbunden

nun habe ich folgendes problem nachdem antimalware neu startet meldet sich wieder der Antimalware Doctor und jede menge fenster mit den meldungen:

UdaterUI.exe hat ein Problem festgestellt und muss beendet werden und
shstat.exe hat ein Problem festgestellt und muss beendet werden.






hier noch die log von antimalware:
www.malwarebytes.org

Datenbank Version: 4060

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.05.2010 17:54:04
mbam-log-2010-05-03 (17-54-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146042
Laufzeit: 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\btqvkr.sys (Rootkit.Agent) -> Delete on reboot.



nach dem scan muss neu gestartet werden und dann sieht die log bei mir so aus:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4060

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.05.2010 17:09:00
mbam-log-2010-05-03 (17-09-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146169
Laufzeit: 11 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\btqvkr.sys (Rootkit.Agent) -> Delete on reboot.



Aber wie gesagt die erste log ist jetzt aktuell.

Bin euch um eure hilfe sehr dankbar!
fg

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hallo cosinus danke für deine schnelle antwort
werde ich dann gleich machen und poste es dann.

so habe Vollscan und OTL scan durchgeführt
folgende logs:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du den unkenntlich gemachten Namen in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [WinVNC] C:\Programme\TightVNC\WinVNC.exe File not found
O4 - HKCU..\Run: [gotnewupdate.exe] C:\Dokumente und Einstellungen\****\Anwendungsdaten\0F63B11DA46213D06F5A9F7CD889E93C\gotnewupdate.exe (MS)
O4 - HKCU..\Run: [mtgecnwe] C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\feplminnh\wtppcittssd.exe ()
:Files
C:\WINDOWS\tasks\At*.job
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\feplminnh
C:\Dokumente und Einstellungen\****\Anwendungsdaten\0F63B11DA46213D06F5A9F7CD889E93C
C:\WINDOWS\61D3AAE1D5214CD7939B37813DE8F955.TMP
C:\WINDOWS\System32\drivers\btqvkr.sys
C:\WINDOWS\System32\drivers\bqvrq.sys
C:\WINDOWS\System32\PRAGMAsrcr.dat
C:\WINDOWS\System32\pragmabbr.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hallo

habe jetzt alles gemacht wie beschrieben.
1. Erfolg ist schon sichtbar antimalware doctor meldet sich vorerst nicht mehr beim starten

folgende probleme habe ich aber nach wie vor:

1. diese fehlermeldungen mit den fenstern kommen im minutentakt:
UdaterUI.exe hat ein Problem festgestellt und muss beendet werden und
shstat.exe hat ein Problem festgestellt und muss beendet werden.

2. der mcafee zugriffsschutz lässt sich nicht aktivieren (seit dem Antimalware Doctor befall wurde dieser deaktiviert)

nochmals danke für die bemühungen!
hier noch das log vom OTL:

Ok. Deinstallier McAfee mal komplett, das ist anscheinend im Moment eh kaputt. Kümmern wir uns später drum.

Mach jetz erstmal Logs mit GMER und OSAM und poste sie.

habe scan mit GMER versucht.
nach ca. 3 stunden scheinte er fertig zu sein wollte noch die logs speichern - dann kam aber ein bluescreen und neustart.

komm wohl nicht drüber hinweg denn computer neu aufzusetzen oder?
bzw. wäre es besser es noch mal mit GMER zu versuchen?

fg

Nein, GMER läuft nicht immer auf allen Rechnern. Lass das erstmal weg und mach mit OSAM weiter.

hallo arne!

habe mir osam auf meinem anderen pc runtergeladen und mitt usb stick auf den infizierten pc geladen.
dort wurde allerdings sofort automatisch die osam.exe datei gelöscht.

ist es wahrscheinlich besser den pc zu formatieren und neu aufzusetzen?
oder ist diese methode auch nicht 100%ig?

fg

Oha, das hab ich noch nicht erlebt bei OSAM
Probier das nochmal mit der OSAM, aber benenne die Datei osam.exe vorher um zB in abc.exe und kopier es dann auf dem befallenen Rechner.

Wenn das nicht hilft kannst Du auch OTLPE probieren (vom anderen Rechner runterladen und brennen) oder eben gleich formatieren. OTLPE ist im Grunde das gleiche wie OTL, nur aus einer sauberen Live-Umgebung, die das infizierte Windows untersucht, das garantiert schonmal, dass kein Schädling an Ergebissen was verfälschen oder Einträge verstecken kann. Musst Du wissen. Hier die Anleitung zu OTLPE:

Systemscan mit OTLPE

• Lade Dir zuerst ISOBurner herunter und installiere es.
• Lade Dir dann OTLPE.iso von Oldtimer und brenne sie per Imagebrennfunktion auf eine leere CD-R.
• Bei Verwendung von ISOBurner reicht ein Doppelklick auf OTLPE.iso.
• Boote nun den infizierten Rechner von der OTLPE-CD (evtl. Reihenfolge im BIOS umstellen).
• Dein System sollte nun einen REATOGO-X-PE Desktop anzeigen.
• Starte OTLPE mit einem Doppelklick auf das OTLPE Icon.
• "Do you wish to load the remote registry" und "Do you wish to load remote user profile(s) for scanning" mit Yes beantworten.
• Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
• Im Block "Drivers" Use SafeList auswählen und dann mit Run Scan den Scan starten.
• Nach dem Scan wird ein Logfile erstellt (C:\OTL.txt)
• Kopiere dieses auf einen USB-Stick und poste es hier.