Guten Tag zusammen, vielen Dank, daß ihr Euch die Zeit nehmt dies zu lesen...

Problem: Malware auf externer Festplatte. (reine Datenplatte)
Lösung: Entfernung der Malware und ev. anderer Viren ohne Löschung der Externendatenplatte.

Ich bin neu, kein pro und hoffe, daß ich alles richtig mache. Für ev. Verbesserungen bin ich dankbar und hoffe, daß ich nicht zu viel eurer kostbaren Zeit in Anspruch nehme.

INFOS:
Ich hab WinXP und benutze den IE. Habe mir auf einer Streamseite gleich 6 Viren eingefangen. Alle wurden gleichzeitig von Antivir erkannt. Kann nicht mehr sagen wie sie hießen, außer daß auch Trojaner dabei waren und von einem gabs noch nichts im Netz.
Nach "erfolgreicher" Löschung durhc AV öffnete sich das Programm "Antivir Solution Pro" und zwang mir seine 'Hilfe' auf, welche ich abgelehnt habe. Hierdurch konnte ich kein Programm mehr öffnen, da 'alle als Viren erkannt wurden'.
Nachdem ich mich im Netz schlau gemacht hatte, bin ich dazu übergegangen mein System, nach Sicherung aller Daten auf die Externe, zu formatieren. Schien mir am klügsten.
Nach Neuinstallierung habe ich auf die Externe zugegriffen, um dort nach Bildern und auch nach Treibern zu suchen. Autorun war natürlich auch an. Kurz darauf war mein System wieder verseucht und ich habs wieder formatiert. Nun steht meine Ext. da und wartet bis man sie rettet.

Ich hab wirklich viel gegoogelt, habe aber keine befriedigenden Beiträge für mein Problem finden können. Scheint dann doch immer ein individuelles zu sein.

Vielen Dank für die Mühe,

schlonse

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


Schritt 2

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
cd \
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom" /v Autorun /t Reg_Dword /d 0 /f
shutdown -i -r -t 2
del %0
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Schließe alle Programme. Der Rechner wird neu starten
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 3

Schließe nun deine Externe Platte an

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.


Schritt 4

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 5

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
MBAM Log
OTL.txt
Extras.txt

Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.

pardon, larusso!

ich hatte bis letzte woche so viel zu tun, daß keine zeit blieb. und auch jetzt sind kinder um mich herum...
ich bleib nun dran, vielen dank!

zum thema: ich versteh, bzw. hab den gewünschtn button nich finden können, in rot:
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.Schließe alle Programme. Der Rechner wird neu starten
Doppelklich auf die file.bat.

unter file.bat konnte ich da nix finden...

grüße
schlonse

Speichere die angehängte File.bat auf dem Desktop und starte diese mit doppelklick.

guten morgen,

eine eigene file.bat datei konnte ich erstellen; nur versteh' ich den nächsten schritt nicht, da ich nach der öffnung der file.bat datei nichts finden konnte was auf "alle dateien" hinweist. deine hab ich auch geöffnet und dasselbe bild vorgefunden.

scusa und vielen dank
schlonse

Ich hoffe das ist alles richtig so!

Vielen Dank Larusso für die Müh'!!!

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
  
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Hallo,

ich hab den ESET laufen gehabt und der hat 7 Viren gefunden; diese hab ich aber nicht gelöscht oder in quarantäne verschieben lassen, sondern nur, wie beschrieben, gefinisht. ich hoffe das stimmt! ein malheure ist mir noch passiert: die firewall war noch oben; wußte nciht wo man sie ausmacht! Kaspersky ist da genauer und ich hab sie dann durch zu fall gefunden und deaktiviert. wo find ich denn diese "skriptblocking"?

Frage: Muß ich die Scans wiederholen?

greetz und schönen Abend
schlonse

Moin Daniel,
nu hat meine Frau den Kaspersky gestern Abend einfach geschlossen nachdem der Scan "succesfully completed" war. Sie hat mir noch rausgeschrieben, daß es keine Funde gab...
Aber es gibt keinen log von KAS...
Scan wiederholen oder reicht dir das als Info?

lg
schlonse

ESET.log

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=9233fe98713ff242a51539be94e2055a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-17 06:11:30
# local_time=2010-08-17 08:11:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 792675 41159076 73680 0
# compatibility_mode=8192 67108863 100 0 98 98 0 0
# scanned=74305
# found=7
# cleaned=7
# scan_time=2709
E:\autorun.inf INF/Autorun virus (deleted - quarantined) 00000000000000000000000000000000 C
E:\Eigene Dateien\****\******\desktop\Spille\Everest_Pokernet.exe a variant of Win32/Casino application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
E:\Eigene Dateien\****\Exen\Avi Player\AviPlayer.exe Win32/Ivefound.AviPlayer application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
E:\System Volume Information\_restore{6A264074-5291-48A9-8911-7BD8BDE14269}\RP30\A0006730.exe Win32/Peerfrag.FE worm (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
E:\System Volume Information\_restore{6A264074-5291-48A9-8911-7BD8BDE14269}\RP30\A0006731.inf INF/Autorun virus (deleted - quarantined) 00000000000000000000000000000000 C
E:\System Volume Information\_restore{6A264074-5291-48A9-8911-7BD8BDE14269}\RP30\A0006732.exe a variant of Win32/Casino application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
E:\System Volume Information\_restore{6A264074-5291-48A9-8911-7BD8BDE14269}\RP30\A0006734.exe Win32/Ivefound.AviPlayer application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Mal die Externe bisschen aufräumen

Noch Probleme Fragen etc?

Fragen? Ähja: Wann wird gekämpft?

Was meinst du mit aufräumen? Ordnen wahrscheinlich!? Jaja...ming Fru hat da ein ganz spezielles System...

wat nu? ich mein, muß ich irgendwas noch machen? oder wieder aus/anstellen?
greetz

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
Avira AntiVir Personal - Free Antivirus
ESET Online Scanner v3
Avira successfully updated!
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
Java(TM) 6 Update 21
Adobe Flash Player
Adobe Reader 9.3.3 - Deutsch
````````````````````````````````
Process Check:
objlist.exe by Laurent
Avira Antivir avguard.exe
ArcorOnline Arcor.exe
````````````````````````````````
DNS Vulnerability Check:
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````

SIeht man selten

Noch Fragen ?