Hallo,
seit gestern habe ich das Programm 'Antimalware Doctor' und bekomme es nicht von meinem Pc herunter.

Die Anleitungen im Forum bezüglich des Verwendens des 'iExplore.exe'- und des 'Malwarebytes'-Programms habe ich durchgelesen und beachtet.

An dieser Stelle beginnt jedoch schon meiin Problem, da Antimalware Doctor troz Umbenennung und mehrfachen Ausführens von iExplorer.exe alle meine Programme blockt und ich somit das Installationsprogramm von Malwarebytes nicht ausführen kann ( es öffnet sich ca 1 sek und wird anschließend geschlossen ).
Da iExplore ebenfalls nur 1 sek geöffnet bleibt bevor es geschlossen wird, bin ich mir auch hier nicht sicher, ob der Prozess zu 100% abgeschlossen wird oder ebenfalls geblockt wird.

Ich bin wirklich verzweifelt und hoffe ihr habt Ideen zum Lösen meines Problems!!! Vielen dank,

MfG Para

Update

Ich hab es geschafft die besagten Datein im Abgesicherten Modus auszuführen und die weiteren Schritte in der Anleitung zur Entfernung beachtet. Den Log von Malwarebytes poste ich im Anhang ( ich habe den Check 2x laufen lassen, das 2. Ergebnis weisst keine Auffälligkeiten auf, deswegen lasse ich diesen Log weg ).

desweiteren habe ich einen Ratschlag aus einem anderen Thread befolgt, der da lautete :

Zitat:

Zitat von gotnewupdate

So, bei meiner Freundin auf dem Notebook hatte sich der Antimalware Doctor eingenistet und Viren angezeigt, die gar nicht vorhanden waren. Kein Programm ließ sich mehr öffnen, selbst der Texteditor nicht mehr. Zwischendurch hat er noch Icons über den Desktop regnen lassen und immer wieder wollte er, dass wir eine Registration kaufen. Man kann ihn ganz einfach entfernen (ich habe dafür allerdings 7 Stunden gebraucht).Nach langem Suchen haben wir ihn gefunden. Die Ordneroptionen hat er gelöscht, so dass wir keinen Zugriff auf die versteckten Dateien hatten. Der Speedcommander auf meinem Stick ließ sich aber öffnen und so fand ich die böse Datei unter c: Dokumente + Einstellungen / Anwendungsdaten in eiem Ordner mit einer langen Zahlenreihe. Darin befinden sich 4 Dateien, u.a. eine die z.T. enimies heißt, skill.dll und eine wichtige namens gotnewupdate000. Dieser Ordner muss gelöscht werden, die gotnew... lässt sich nicht löschen, weil sie sich im System festgesetzt hat. Diese selbe Datei findet man im Taskmanager und dort haben wir sie entfernt. Danach ließ sich die gotnew... dann auch in ihrem Orner löschen und der Spuk hatte ein Ende.
Unser System war XP Home.
Ich hoffe, ich konnte euch helfen.

Der besagte Spuk ist bei mir jedoch nicht verschwunden.

Ich hoffe ihr könnt mir schnellstmöglichst helfen !!!

MfG Para

Hallo,

Zitat:

Datenbank Version: 4052

Du hast Malwarebytes vorher nicht aktualisiert. Bitte die Datenbanken updaten und den Vollscan wiederholen. Danach bitte Logs mit otl.exe erstellen + posten

gesagt, getan. Upgedated und es wurden tatsächlich noch einige sachen entdeckt. scheint so als sei ich befreit, hier trozdem nochmal die Logs, vieleicht entdeckt ihr ja noch was ...

Vielen dank für die Hilfe!!!!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (nyqwl) -- C:\WINDOWS\system32\drivers\nyqwl.sys ()
O4 - HKCU..\Run: [gotnewupdate000.exe] C:\Dokumente und Einstellungen\Don Basti\Anwendungsdaten\E87A7377B069F0F23A25AB8B2357693F\gotnewupdate000.exe File not found
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\0data\cbs.exe -- [2010.04.09 18:24:05 | 003,493,376 | R--- | M] ()
[010.04.25 22:41:13 | 000,544,768 | -H-- | M] () -- C:\ffastun.ffo
[2010.04.25 22:41:13 | 000,005,124 | -H-- | M] () -- C:\ffastun.ffa
[2010.04.25 22:41:12 | 002,994,176 | -H-- | M] () -- C:\ffastun0.ffx
[2010.04.25 22:41:12 | 001,196,032 | -H-- | M] () -- C:\ffastun.ffl
:Files
C:\WINDOWS\system32\drivers\nyqwl.sys
C:\Dokumente und Einstellungen\Don Basti\Anwendungsdaten\E87A7377B069F0F23A25AB8B2357693F
C:\WINDOWS\System32\drivers\wymeyxu.sys
C:\Dokumente und Einstellungen\Don Basti\Lokale Einstellungen\Anwendungsdaten\syssvc.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Auftrag ausgeführt, hier die Ergebnisse ( hochladen hat irgendwie nicht geklappt, deswegen nun manuell, hoffe das macht keine Umstände )

MfG

All processes killed
========== OTL ==========
Service nyqwl stopped successfully!
Service nyqwl deleted successfully!
C:\WINDOWS\system32\drivers\nyqwl.sys moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gotnewupdate000.exe deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
File move failed. E:\0data\cbs.exe scheduled to be moved on reboot.
C:\ffastun.ffo moved successfully.
C:\ffastun.ffa moved successfully.
C:\ffastun0.ffx moved successfully.
C:\ffastun.ffl moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32\drivers\nyqwl.sys not found.
File\Folder C:\Dokumente und Einstellungen\Don Basti\Anwendungsdaten\E87A7377B069F0F23A25AB8B2357693F not found.
File\Folder C:\WINDOWS\System32\drivers\wymeyxu.sys not found.
File move failed. C:\Dokumente und Einstellungen\Don Basti\Lokale Einstellungen\Anwendungsdaten\syssvc.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Don Basti
->Temp folder emptied: 78173550 bytes
->Temporary Internet Files folder emptied: 9601158 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40456994 bytes
->Flash cache emptied: 42251 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 49360 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2633086 bytes
->Flash cache emptied: 1460 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119608 bytes
%systemroot%\System32 .tmp files removed: 4528519 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 569898 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 131,00 mb


OTL by OldTimer - Version 3.2.5.0 log created on 05222010_140005

Files\Folders moved on Reboot...
File move failed. E:\0data\cbs.exe scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\Don Basti\Lokale Einstellungen\Anwendungsdaten\syssvc.exe not found!

Registry entries deleted on Reboot...

Ok. Dann mach jetzt nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok cosinus, jetzt hab ich ein neues problem mit combofix:

habe alles entsprechend dem "leitfaden und tutorium..." für cobofix durchgeführt. Nachdem nach infizierten Datein gesucht wurde, sollte der PC neu gestartet werden. Folge war, dass der PC sich jetzt nicht mehr hochfahren lässt ( auch im abgesicherten Modus hängt er sich auf ), es erscheint ein schwarzer Bildschirm. Ich habe das Problem versucht zu googeln, aber keine 100% Lösung gefunden (hängt vielleicht auch damit zusammen, dass ich angst vor Datenverlusten habe und vorsichtig mit den Ratschlägen bin).
Was ist jetzt zu tun?

Mfg

PS: Hoffe es macht keine Umstände, dass ich für dieses Problem keinen neuen Thread erstellt habe.

Oje, das passiert aber rel. selten.
Wo genau bleibt er stehen? Hast Du mal die letzte als funktionierend bekannte Konfiguration gestartet?

also der start verhlt sich wie folgt: pentium zeichen wird angezeigt, ein blickender " _ " am unteren linken bildschirmrand, dann schwarzer Bildschirm.

Ich komme jedoch mit F8 in das Menü der erweiterten Windows-Startoptionen und weiterführend auch in die Windows Recovery Console, sämtliche Auswahlmöglichkeiten erzielen jedoch kein Hochfahren des PC's.

Habe auch schon mithilfe der Wiederherstellungskonsole versucht, Windows zu reparieren, auch dies erzielte jedoch keinen Effekt.

Ich eröffne Mal ein neues Topic mit dem Thema, hat ja nicht mehr viel mit der Überschrift hier zu tun.

PS: neues Thema zu diesem Problem heisst: " PC hängt sich beim Starten auf, schwarzer Bildschirm, bin am verzweifeln !!! "