Ich habe mir den Antimalwaredoctor eingefangen und nach der hier auf dem Board empfohlenen Methode versucht ihn zu löschen. Es funktioniert jedoch nicht.

Ich habe rkill laufen lassen:This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as xxx on 07.06.2010 at 21:38:08.


Processes terminated by Rkill or while it was running:


C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe
C:\Users\xxx\AppData\Local\Temp\Azd.exe


Rkill completed on 07.06.2010 at 21:38:11.


dann malwarebytes (Antimalware hab ich Quick und komplett laufen lassen hänge auch beide Logs an) und anschließend ccleaner, jedoch popt sich der doctor beim neustart von windows wieder auf. Des weiteren fragt windows jedesmal beim Start von firefox, ob das Programm änderungen

an meinem PC durchführen darf. Hängt das mit dem Doctor zusammen?


Ich hänge mal alle relevanten logs an.
(OTL hat jeweils 2 TXT-Logs produziert ich häng beide an.)


Please help.

versuch rkill direkt mehrmals schnell hintereinander zu öffnen, eig müssten sich dann mehr prozesse verabschieden als nur deine 2
ansonsten wenn du den taskmanager öffnen kannst dann beende mal bitte Ixm.exe
ka ahnung ob es mehrere versionen von rkill gibt..
falls antimalewaredoctor nach rkill immer noch aktiv ist oder wird kannst du auch während des scans rkill ausführen (musst du sogar)
deine datenbank version scheint ok zu sein.
und sonst wüsste ich auch erstmal nicht weiter

@nanoflo: Du hast doch selbst Probleme mit dem Antimalware Doctor, warum versuchst Du dnen anderen zu helfen, wenn Du Deine Kiste selbst nichtmal im Griff hast?

kann mir jetzt jemand helfen? Ich komme echt nicht weiter. Meinen REchner neu auf zu setzten wäre (fast) ne katastrophe...

Ich glaub jetzt hab ichs geschafft. Kann sich jemand mal die Logs von OTL ansehen? und mir ein kurzes feedback geben. Traue mich nicht mich irgendwo einzuloggen solang ich nicht sicher bin ob mein system wieder sauber ist.

mbam

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du den unkenntlich gemachten Benutzernamen wieder in den richtigen verwandeln, sonst funktioniert das Script nicht!! (xxx zurückeditieren!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [setupupdater0000.exe] C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe (MS)
:Files
C:\Users\xxx\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

so im anhang der logfile. Die Datei setupupdater000.exe konnte es nicht mehr finden, da ich diese im abgesicherten Windowsmodus schon selbst gelöscht hatte und den Pappierkorb dann mit CCleaner gelehrt hatte.

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\setupupdater0000.exe not found.
File C:\Users\Mika\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4\setupupdater0000.exe not found.
========== FILES ==========
C:\Users\Mika\AppData\Roaming\E1F2A87CC44797ADE461F9BFC17B69F4 folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Mika
->Temp folder emptied: 323128 bytes
->Temporary Internet Files folder emptied: 18794496 bytes
->Java cache emptied: 15610189 bytes
->FireFox cache emptied: 53761336 bytes
->Flash cache emptied: 4456 bytes
 
User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 68180 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 1024 bytes
 
Total Files Cleaned = 85,00 mb
 
 
OTL by OldTimer - Version 3.2.5.3 log created on 06092010_063009

Files\Folders moved on Reboot...
C:\Users\Mika\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
         

Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mächtigere Tools können wir nicht einsetzen, da sie inkompatibel mit einem 64-Bit-Windows sind.

so hier der log von SuperantiSpyware:

PHP-Code:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/09/2010 at 09:21 PM

Application Version : 4.38.1004

Core Rules Database Version : 5052
Trace Rules Database Version: 2864

Scan type       : Complete Scan
Total Scan Time : 02:17:31

Memory items scanned      : 561
Memory threats detected   : 0
Registry items scanned    : 10675
Registry threats detected : 2
File items scanned        : 255362
File threats detected     : 0

Adware.PTech
    (x86) HKU\S-1-5-21-2205588998-460126761-1264454870-1001\Software\PTech

Malware.Trace
    (x86) HKU\S-1-5-21-2205588998-460126761-1264454870-1001\Software\V71IQL7HI7 


Soll ich beide Dateien entfernen lassen?

Scan mit Malewarebytes mache ich jetzt das dauert ca. 8h! Log kann ich erst morgen abend posten. (Arbeit, Arbeit, Arbeit)

Danke schon mal für die Hilfe

Ok, dann mach nur einen Quickscan mit Malwarebytes denn idR reicht der auch aus.

ging doch fixer:

HTML-Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4184

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.06.2010 22:15:27
mbam-log-2010-06-09 (22-15-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 381169
Laufzeit: 38 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ok. Die Funde von SUPERAntiSpyware kannste löschen.
Noch Probleme?

sieht alles gut aus danke für die hilfe

Gut. Dann bitte mal die Updates prüfen, hier mein Standardtext dazu als Leitfaden:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.