Hallo zusammen,
malwarebytes Version 1.46 hat 114 infizierte Dateien auf meinem Computer gefunden und bietet mir an,alle zu entfernen.
Ich möchte sie zunächst lieber nur in Quarantäne verschieben, diese Funktion steht aber nicht zur Verfügung, bzw. das Anklicken irgendwelcher Reiter wird nicht angenommen.

Kann ich die Dateien tatsächlich nur entfernen?
Ich habe Angst, dass das System nachher nicht mehr läuft, viele infizierte Dateien in System Volume Information-Ordnern (*.exe-files), in Temp-Dateien (exe-files), 1 Datei in system32/drivers-Ordner.

Kann den logfile auch posten, er ist aber sehr lang, daher vorab die Anfrage ohne ihn.

Gefundene Trojaner:
trojan.dropper
trojan.downloader
trojan.fraudpack

Vielen Dank im Voraus für nützliche Informationen!
Gruß, Ellen

Entfernen schiebt diese in Quarantäne

Super!

Vielen herzlichen Dank für die schnelle Antwort! Ich hatte befürchtet, "entfernen" löscht sie endgültig.

Gruß,
Ellen

Würdest Du mir trotzdem mal zeigen was da so gefunden wurde ?

Gerne, hier das logfile.

Was mich wirklich ärgert ist, dass IE8 anscheinend noch vorhanden ist, ich hatte dieses Drecks-PRogramm eigentlich gelöscht ...

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4174

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.06.2010 15:21:46
mbam-log-2010-06-07 (15-21-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|K:\|L:\|M:\|N:\|O:\|P:\|Q:\|)
Durchsuchte Objekte: 1045892
Laufzeit: 2 Stunde(n), 51 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 114

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4rjuwdrp.default\Cache\A90FAEFEd01 (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4rjuwdrp.default\Cache\687C44EFd01 (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4rjuwdrp.default\Cache\4FF8AD17d01 (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\080.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\313.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\431.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\459.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\595.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\612.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\947.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\958.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temp\267.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LSZN8NXX\msall[1].new (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.ATHLON64.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S4NNLEQE\pr3xy[1].data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0140229.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0140242.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0140986.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0140989.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0141002.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP938\A0141006.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141884.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141888.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141901.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141903.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141904.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141906.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141908.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141909.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141910.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141912.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141913.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0141907.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0142212.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0142221.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0142425.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143248.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143249.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143251.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143252.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143253.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143254.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143255.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143257.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143258.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143260.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143273.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0143277.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144024.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144025.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144027.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144028.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144029.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144030.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144031.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144033.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144034.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144036.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144049.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144053.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144804.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144805.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144807.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144808.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144809.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144810.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144811.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144813.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144814.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144830.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144816.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0144834.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145581.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145582.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145584.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145585.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145586.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145587.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145588.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145590.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145591.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145593.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145606.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0145610.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146353.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146354.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146356.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146357.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146358.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146359.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146360.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146362.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146363.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146378.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146382.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0146365.exe (Trojan.Fraudpack) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147149.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147150.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147152.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147153.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147154.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147155.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147156.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147158.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147159.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147172.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP939\A0147176.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0150684.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0150688.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0151441.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0151445.data (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0152213.new (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{2AD0BB7C-19E0-4E63-925B-1F0CEB9EAEB0}\RP941\A0152217.data (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\abupjdbq.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
         

Das ist mehr zu tun.


Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Ist Dir folgendes Benutzerkonto bekannt ?
HelpAssistant.ATHLON64.000


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
Gmer.txt

erstmal vielen Dank für die ausführliche Anleitung.
Inzwischen habe ich mit die mit Malwarebytes identifizierten Dateien in "entfernt", also in Quarantäne gesteckt.
Gerade läuft ein kompletter Scan mit Avira Antivir, was mir in den letzten Tagen und jetzt auch beim Scan einige Meldungen für Malware bringt. Das lasse ich noch zu Ende laufen.

Dann habe ich noch ein paar Fragen zur BEreinigung selbst, bevor ich damit starte.
zu SChritt 2:
- den Inhalt aus dem gelb hinterlegten Fenster in die Textbox kopieren?

zu Schritt 3:
- auch nach dem Scan mit OTL den REchner bereits neu starten?
- die unter Schritt 2 genannten Ergbnisse *-txt erst nach Schritt 3 posten
oder wie geschrieben nach Schritt 2 und gmer.txt nach Schritt 3?

Soll ich vor dem Bereinigungsstart noch die Avira-Meldungen posten?

Eine Formatierung möchte ich vorerst vermeiden. Ich habe vor einiger Zeit ein Simulationsprogramm (legal!) installiert, dessen Installationsdateien ich nicht mehr habe und nicht mehr ohne Weiteres von dort bekommen kann.
Wenn es also mit einer Bereinigung geht, dann lieber damit.

Ein Kollege dort empfahl mir noch, die Platte zu spiegeln und damit das Programm zu retten, aber ich weiß nicht, ob ich die Viren/Trojaner dann mitspiegle und überhaupt was gewonnen habe. Vielleicht kannst du mir dazu eine Einschätzung geben?
ICh hatte gestern nacht schon mit einem kompletten Backup begonnen, was aber nicht mehr durch gelaufen ist. ISt mir noch nie passiert, ich nehme an, das hängt mit der Verseuchung zusammen.
Wenn das eine Option ist, um die Daten zu retten, dann würde ich die Bereinigung durchlaufen lassen, anschließend Backup/Spiegelung und entweder bestehende Platte neu formatieren oder gleich eine größere Ersatzplatte mit mehr GB. So lange ich damit nicht alle Malware mit übertrage.

MAcht es mehr Sinn, mit der BEreinigung erst morgen zu starten? Wird wohl eine Nachtschicht werden, und ich möchte lieber sicher gehen, dass jemand vom Team erreichbar ist.

Gruß,
Ellen
ICh habe vergeblich versucht, IE8 zu entfernen, über alle möglichen Wege. ISt hartnäckig.

zu schritt 2

Den Inhalt des gelben Feldes einfach in die Box von OTL kopieren. wenn Du OTL offen am Desktop hast, wirst du es schon nicht übersehen.

Du brauchst den Rechner nicht nach OTL neu starten.

Am besten wäre es, wenn Du mir alle 3 *.txt files auf einmal postest.

Für ein vollständiges Backup ist es zu spät, wenn du schon eines hast, kannst Du dieses einspielen.
Eine Spiegelung von einer kompromittierten Platte ist dezent sinnfrei. Das ist ja wirklich nur eine Kopie der Festplatte.

Wenn Du Daten richtig sicherst, dann kopierst Du zu 95% keine Malware mit.

Die InstallationsDateien der Software (und alles andere) kannst ja sichern, dann scannen wir das Backup durch und wenn das clean ist, dann kannst in Ruhe formatieren und hast ein garantiert sauberes System. Deine Entscheidung.
Und eine Bereinigung ist mit Sicherheit nicht weniger Aufwand.

Hier mal ein bisschen Lesestoff
http://www.trojaner-board.de/75622-d...ittierung.html
http://www.trojaner-board.de/51262-a...sicherung.html
Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen

PS: IE8 gehört zu Windows, den kann man nicht einfach mal so killen. Ich hab selbst für MSN 3 Stunden gebraucht um es zu 90% weg zu bekommen. M$ ftw

Hallo Daniel,
noch ein paar dumme Fragen hinten dran, dann brauch ich glaub i erstmal ne Pause. :-)
Die Anleitungen lese ich mir nachher noch durch, vielen Dank dafür, habe sowas auch teils schon gemacht, ist halt ne Weile her.
Ich habe noch ein älteres komplettes (zu dem Zeitpunkt) Backup von 2009 (ich war dieses Jahr etwas nachlässig...:-( ), das könnte ich im Notfall zumindest für die C-Partition (alle meine Programme und Betriebssystem) verwenden.
--> Frage: Anscheinend sind nur Dateien auf dieser c:-Platte infiziert. Kann ich dann die restlichen Partitionen (sind "echte") jetzt noch gefahrenlos einem Backup unterziehen/Inhalte auf externe Festplatte kopieren?

IE8 ist ein Mist, zu entfernen, ich weiß, selbst über die Windows-KOnfiguration lässt sichs nicht leicht machen. Habe ich "versehentlich" installiert, bei einem der Windows updates. Haken falsch gesetzt und schon wars zu spät. ISt ein Riesendreck ...

Ich poste die Durchläufe der Scans. Entweder heute spät/Nacht oder morgen.

Gruß,
Ellen

Für gewöhnlich nistet sich Malware auf der Systempartition ein, kann aber auch überspringen.

Lese Dir einmal diesen Post von Petra durch.

Du kannst ja mal ein Backup machen und nach dieser Anleitung prüfen ob noch was da ist

Hallo Daniel,
ich habe ein Desaster erlebt. Nachdem ich gestern den Scan mit Malwarebytes abgeschlossen und den ersten Scan mit OTL laufen lassen wollte, kann ich mich seit heute nicht mehr anmelden. Der PC bootet nicht mehr vollständig hoch. Ich komme bis zur Anmeldeseite, kann noch das Kennwort für den benutzer angeben, dann nimmt er nicht mal mehr die BEstätigung an.
Booten von CD habe ich heute schon probiert, nimmt er auch nicht mehr an.
Jetzt versuche ich noch ein bootfähige USB zu erstellen.
Ist das ein bekanntes Problem???
Ich hoffe, dass ich - wenn ich erstmal wieder Zugriff habe, die Dateien wieder aus der Quarantäne entfernen und dann die Bereinigung ohne Malwarebytes starten. :-((
Irgendwelche Tipps für mich???
DAnke und GRuss,
Ellen

Um von CD zu booten musst Du das im BIOS umstellen.

Bootfähige USBs muss nicht unbedingt klappen.


Ok diese Anleitung ist groß. Drucke sie dir aus damit du weißt was du tun must.

Zwei Programme sind zu downloaden.

Schritt 1

ISOBurner
Dies wird dir erlauben die OTLPE ISO auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch. Wie brenne ich eine ISO Datei auf CD/DVD


Schritt 2

• Download OTLPE.iso und brenne es mit ISOBurner auf eine CD. NOTE: Die Datei ist 292MB groß und wird deshalb ein wenig dauern bis du sie gedownloadet hast.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
• Starte dein System neu und boote von der CD die du gerade erstellt hast.
  Note : Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, dann folge diesen Schritten hier
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\OTL.txt gesichert
• Kopiere diese Datei auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt der OTL.txt Datei in diesen Thread.

hallo Daniel,
danke, dass du schon geantwortet hast.
Der Link zu OTLPE.iso gibt nur Fehlermeldungen aus, ich habe die DAtei auch so nicht irgendwo als DOwnload gefunden.

Ich hatte die Prioritäten im Bios umgestellt, alles probiert, sogar nur booten von CD und keine andere Möglichkeiten, hat er nicht genommen. Hat die CD irgendwie gar nicht erkannt. Lege ich sie in einen anderen Rechner ein, wird sie erkannt. -?

Kennst du den PEBuilder für bootable USBs? Soll funktionieren, ich werds beides probieren.

Schätze, vor morgen komme ich nicht viel weiter. WErde dir berichten, wie ich voran komme.

Gruss,
Ellen

Sorry, Link wurde geändert

Falls Du kein Brennprogramm hast, lade dir ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo, ich bin wieder da ...
In der Zwischenzeit ist einiges passiert,mein ursprünglich befallener Rechner ist "nicht mehr ansprechbar".Ich habe mit einer Linux-Live-CD (Knoppix) mal die wichtigsten letzten Daten herunter geholt auf eine mobile Festplatte, weil ich sei gerade dringendst für eien Arbeit benötige. habe einen alten Rechner reaktiviert, vor Inbetriebnahme neue Antivirenprogramme, alle Windows-Updates und SP's installiert.
Antivir bringt mir dort jetzt zwei Trojanermeldungen:
G:\System Volume Information\_restore{309F8E42-4E09-44D8-A2C2-66DA630BC76B}\RP33\A0019003.exe
Datei G:\System Volume Information\_restore{309F8E42-4E09-44D8-A2C2-66DA630BC76B}\RP31\A0017795.exe
sollen der Trojaner TR/Dropper.Gen
sein. Die Dateien sind vom 01.03.2006

Wenn ich seit gestern die mobile Festplatte unter einem anderem als dem jetzigen Benutzer an den Rechner anschließe, hängt er sich auf. Dachte, dass das am Rechner läge, weil er eh schon ziemlich hinüber war (deswegen ausrangiert) und einige "Wackelkontakte" hat.
Habe also meine Datenrettung via Notebook und mobile Festplatte erledigt.
Seit heute früh: steck ich die mob FP rein, passiert dasselbe wie vorher unter einem anderen Benutzerkonto hier.
Habe meinen USB-Stick mit Antivir letztes Update) gescannt: keine Viren.
Habe vor der Datenübertragung von mobiler FP auf das Notebook die Laufwerke mit den Daten vom verseuchten Rechner mit neuestem Antivir gescannt: angeblich "sauber".

Ich glaube aber nicht mehr, dass Antivir alles findet.

Sieht für mich nach einer Menge Arbeit aus ...
MEine Überlegung, vorzugehen:
- zunächst den aktuellen, reaktivierten Rechner säubern (sind bislang nur diese beiden Funde). die G:\Partition ist eigentlich nicht Betriebssystem. Habe alle meine Rechner/Notebooks mit echten Partitionen versehen, so dass auch hier das Betriebssystem auf C:\ ist, zusammen mit anderen Anwendungsprorgrammen (vielleicht sollte ich auch das in Zukunft trennen .. ein Tipp hierzu wäre hilfreich).
Mit diesem Rechner habe ich hier Internetzugang und einen funktionsfähigen Brenner. Außerdem habe ich den Rechner von den meisten "Dateien" befreit, ein/zwei Programme laufen dort, die ich nicht wirklich verlieren wollte.
- dann /parallel die mobile Festplatte scannen bzw. von Viechern befreien. Befinden sich jetzt SEHR VIELE und eigentlich alle meine Daten, Programme etc. drauf. Will ich auf gar keinen Fall verliern, oder wenn dann nur eingeschränkt.
- ich brenne gerade die wichtigsten Daten auf CD's, so lange der reaktivierte Rechner mitspielt. Insgesamt sind es aber viel zu viele CD's, die da brennen wären ...
- dann mein Notebook " sicher machen", für alle Fälle. Das sollte eigentlich auch schon ersetzt werden wegen Hardwareproblemen (ein GEricom-Mistgerät!Der größte Schrott), ich benötige es aber gerade dringendst zum Arbeiten und Schreiben. HAt aber (noch)ziemlich Probleme mit der Netzwerkkarte, also kein zuverlässiger Internetzugang damit hier über LAN.

wenn das alles geschafft ist bzw. zumindest der reaktivierte Rechner sicher läuft und meine Daten sicher sind, dann oder halbwegs parallel möchte ich den eigentlichen, aktuellen Rechner in Angriff nehmen.
Inzwischen glaub ich kaum noch, dass ich da was retten kann.

Ergo:
Soll ich mit dem momentanen Arbeitsrechner so vorgehen (dieselben Scanprogramme etc?) wie bei dem ursprünglich befallenen Rechner oder gibts für die beiden Funde oben eine andere Vorgehensweise?

Vielen DAnk jetzt schon für die Unterstützung! Nach all dem werde ich um einiges schlauer sein, was PC-Sicherheit angeht ... :-)

Gruß
Ellen