Guten Abend liebe Trojaner-Boarder,

Gestern, am späten Nachmittag, habe ich mir wohl die beiden genannten Malwares eingefangen (Windows XP). Ich benutze meinen Laptop seit 5 Jahren, wirklich auskennen tu ich mich aber nicht damit. Da ich keinen zweiten PC habe, blieb mir nichts anderes übrig, als mit dem infizierten PC das Internet nach Lösungsanleitungen zu durchforsten und bin dann bei euch gelandet.

Ich habe dann nach einigen Schwierigkeiten rkill so oft geöffnet, bis die Malwares mich beim Starten des Computers in Ruhe gelassen haben (musste dafür schnell sein - noch während windows am hochfahren war). Davor durfte ich weder auf Systemsteuerung, noch Programmauswahl oder mein Virenprogramm AVG zugreifen, geschweigedenn Malwarebytes installieren oder öffnen, da die Malware das stets unterbunden hat ("Die und die Datei möchte Deine Kreditkarteninfos ausspionieren").

Nachdem beim Starten keine Meldungen mehr aufgepoppt sind, habe ich Malwarebytes über den Computer laufen lassen. Danach AVG. Dazwischen immer wieder mit CCleaner sauber gemacht (Temporäre Dateien und Registry).

Ich bin jetzt beim zweiten Durchgang mit Malwarebytes, habe zwischendurch den Computer nicht heruntergefahren. Immer wieder poppt auch wieder AVG auf, und meldet dass er wieder einen "neuen" Trojaner gefunden hat.

Ein paar Dateien .exe und .bat in lokale Einstellungen/temp habe ich mit Sweepi Slicer gelöscht, die eindeutig zur Malware gehört haben (Datum der Installation, Herkunft).

Neu Formatieren kann ich im Moment nicht, da mir die System-CD dafür fehlt.

Was würdet ihr mir als nächstes raten?

Habe mit dem Computer auch schon Internetbanking betrieben, natürlich nicht seit Malwarebefall, und habe auch keine Kennworter gespeichert. Sollte ich trotzdem Sicherungs-Schritte unternehmen?

Ich bin für jeden Hinweis dankbar!
Viele Grüße
katholumbien

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes - alle Scanergebnisse bitte posten!
AVG
         

1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
CCleaner starten:
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

Guten Abend,

ich habe gestern abend und heute morgen schon Malwarebytes und AVG scannen lassen, und sie haben eine Menge gefunden -> ab in die Quarantäne.

Jetzt habe ich eben Mylwarebyte und AVG zum zweiten Mal drüber laufen lassen, hier wie gewünscht die Ergebnisse:
----------------------------------------------------------------------
Mawarebyte:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 21:51:47
mbam-log-2010-09-14 (21-51-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 190492
Laufzeit: 1 Stunde(n), 0 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------------------------------------------------------
AVG:
Scan "Gesamten Computer scannen" wurde beendet.
Infektionen;"1";"1";"0"
Warnungen;"1";"1";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Dienstag, 14. September 2010, 21:53:27"
Scan beendet:;"Dienstag, 14. September 2010, 22:53:48 (1 Stunde(n) 20 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"232380"
Benutzer, der den Scan gestartet hat:;"xxx"

Infektionen
Datei;"Infektion";"Ergebnis"
C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp;"Trojaner: Generic19.MYI";"In Virenquarantäne verschoben"

Warnungen
Datei;"Infektion";"Ergebnis"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\msoxcwearn.tmp;"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\msoxcwearn.tmp gefunden";"In Virenquarantäne verschoben"
--------------------------------------------------------------------

Werde nun die beginnen die ersten empfohlenen Schritte auszuführen, melde mich, falls ich Fragen habe.

Vielen Dank schonmal!

Gewünschte Daten im Anhang

Leider scheint meine hjtscanlist.txt Probleme zu machen, die Verbindung ist ständig getrennt, wenn ich verscuhe die Datei anzuhängen, reinzukopieren oder auch nur Teile reinzukopieren (einer ging, aber gleich der nächste Abschnitt war zu groß).

Gibt es noch ein Möglichkeit die Datei hier für Dich zu posten?

Editiert: Ich kann die Datei auch nicht als PN schicken

@katholumbien

gehe folgendermaßen vor: Logs als Anhang

Guten Morgen,

und vielen Dank Da Guru, das mit dem zippen hat problemlos geklappt.
Im Anhang die Daten!

Viele Grüße!

Guten Abend,

folgende Symptome treten zurzeit auf:

- Sporadisch öffnen sich Fenster, teils mit Werbung, teils öffnen sich Links zu Themen wie "Windows update Trojaner" auf ganz anderen Seiten (wo ich dubiose Links clicken soll)

- Außerdem zeigt der Browser "Verbindungsfehler" an ,sobald ich nur in die Nähe von Seiten zu Windows updates komme

Sonst ist egtl alles ruhig...

Anbei noch das Protokoll der ersten Reinigung mit malwarebyte

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4610

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 07:24:31
mbam-log-2010-09-14 (07-24-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194100
Laufzeit: 1 Stunde(n), 28 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\com+ manager (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\otgv1dnwqq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yxe7dxcq37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\225.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\226.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\sxcfgslr.exe (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\msoxcwearn .exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\stpdd292.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\erocnmwxas.tmp (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\aroceswnmx .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\enocwsmxra.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00   .exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0002.CHK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0004.CHK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\.COMMgr\complmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\n40k3.com (Malware.Generic) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\Ycz.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\aroceswnmx.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\katharina nagler\Lokale Einstellungen\Temp\Yc4         .exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

1.
unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen:

Code: Alles auswählenAufklappen

ATTFilter

 14.09.2010 23:00     C:\WINDOWS\Tasks\At48.job --------- 428 
 14.09.2010 23:00     C:\WINDOWS\Tasks\At72.job --------- 428 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At141.job --------- 348 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At140.job --------- 342 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At139.job --------- 342 
 14.09.2010 22:40     C:\WINDOWS\Tasks\At23.job --------- 342 
 14.09.2010 22:00     C:\WINDOWS\Tasks\At47.job --------- 428 
 14.09.2010 22:00     C:\WINDOWS\Tasks\At71.job --------- 428 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At137.job --------- 342 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At138.job --------- 348 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At22.job --------- 342 
 14.09.2010 21:40     C:\WINDOWS\Tasks\At136.job --------- 342 
 14.09.2010 21:00     C:\WINDOWS\Tasks\At46.job --------- 428 
 14.09.2010 21:00     C:\WINDOWS\Tasks\At70.job --------- 428 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At134.job --------- 342 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At21.job --------- 342 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At135.job --------- 348 
 14.09.2010 20:40     C:\WINDOWS\Tasks\At133.job --------- 342 
 14.09.2010 20:00     C:\WINDOWS\Tasks\At45.job --------- 428 
 14.09.2010 20:00     C:\WINDOWS\Tasks\At69.job --------- 428 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At130.job --------- 342 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At132.job --------- 348 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At20.job --------- 342 
 14.09.2010 19:40     C:\WINDOWS\Tasks\At131.job --------- 342 
 14.09.2010 19:00     C:\WINDOWS\Tasks\At44.job --------- 428 
 14.09.2010 19:00     C:\WINDOWS\Tasks\At68.job --------- 428 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At128.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At127.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At19.job --------- 342 
 14.09.2010 18:40     C:\WINDOWS\Tasks\At129.job --------- 348 
 14.09.2010 18:00     C:\WINDOWS\Tasks\At67.job --------- 428 
 14.09.2010 18:00     C:\WINDOWS\Tasks\At43.job --------- 428 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At126.job --------- 348 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At125.job --------- 342 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At124.job --------- 342 
 14.09.2010 17:45     C:\WINDOWS\Tasks\At18.job --------- 342 
 14.09.2010 17:00     C:\WINDOWS\Tasks\At42.job --------- 428 
 14.09.2010 17:00     C:\WINDOWS\Tasks\At66.job --------- 428 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At123.job --------- 348 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At17.job --------- 342 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At122.job --------- 342 
 14.09.2010 16:45     C:\WINDOWS\Tasks\At121.job --------- 342 
 14.09.2010 16:00     C:\WINDOWS\Tasks\At65.job --------- 428 
 14.09.2010 16:00     C:\WINDOWS\Tasks\At41.job --------- 428 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At118.job --------- 342 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At119.job --------- 342 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At120.job --------- 348 
 14.09.2010 15:45     C:\WINDOWS\Tasks\At16.job --------- 342 
 14.09.2010 15:00     C:\WINDOWS\Tasks\At64.job --------- 428 
 14.09.2010 15:00     C:\WINDOWS\Tasks\At40.job --------- 428 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At15.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At115.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At116.job --------- 342 
 14.09.2010 14:45     C:\WINDOWS\Tasks\At117.job --------- 348 
 14.09.2010 14:00     C:\WINDOWS\Tasks\At39.job --------- 428 
 14.09.2010 14:00     C:\WINDOWS\Tasks\At63.job --------- 428 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At114.job --------- 348 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At112.job --------- 342 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At14.job --------- 342 
 14.09.2010 13:45     C:\WINDOWS\Tasks\At113.job --------- 342 
 14.09.2010 13:00     C:\WINDOWS\Tasks\At38.job --------- 428 
 14.09.2010 13:00     C:\WINDOWS\Tasks\At62.job --------- 428 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At111.job --------- 348 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At109.job --------- 342 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At110.job --------- 342 
 14.09.2010 12:45     C:\WINDOWS\Tasks\At13.job --------- 342 
 14.09.2010 12:00     C:\WINDOWS\Tasks\At61.job --------- 428 
 14.09.2010 12:00     C:\WINDOWS\Tasks\At37.job --------- 428 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At12.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At106.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At107.job --------- 342 
 14.09.2010 11:45     C:\WINDOWS\Tasks\At108.job --------- 348 
 14.09.2010 11:00     C:\WINDOWS\Tasks\At36.job --------- 428 
 14.09.2010 11:00     C:\WINDOWS\Tasks\At60.job --------- 428 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At104.job --------- 342 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At11.job --------- 342 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At105.job --------- 348 
 14.09.2010 10:45     C:\WINDOWS\Tasks\At103.job --------- 342 
 14.09.2010 10:00     C:\WINDOWS\Tasks\At59.job --------- 428 
 14.09.2010 10:00     C:\WINDOWS\Tasks\At35.job --------- 428 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At101.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At100.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At10.job --------- 342 
 14.09.2010 09:45     C:\WINDOWS\Tasks\At102.job --------- 348 
 14.09.2010 09:00     C:\WINDOWS\Tasks\At34.job --------- 428 
 14.09.2010 09:00     C:\WINDOWS\Tasks\At58.job --------- 428 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At9.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At97.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At98.job --------- 342 
 14.09.2010 08:45     C:\WINDOWS\Tasks\At99.job --------- 348 
 14.09.2010 08:00     C:\WINDOWS\Tasks\At57.job --------- 428 
 14.09.2010 08:00     C:\WINDOWS\Tasks\At33.job --------- 428 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At95.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At8.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At94.job --------- 342 
 14.09.2010 07:45     C:\WINDOWS\Tasks\At96.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At91.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At92.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At93.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At142.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At143.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At144.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At73.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At74.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At75.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At76.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At90.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At78.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At79.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At80.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At81.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At82.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At83.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At84.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At85.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At86.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At87.job --------- 348 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At88.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At89.job --------- 342 
 14.09.2010 07:30     C:\WINDOWS\Tasks\At77.job --------- 342 
 14.09.2010 07:00     C:\WINDOWS\Tasks\At32.job --------- 428 
 14.09.2010 07:00     C:\WINDOWS\Tasks\At56.job --------- 428 
 14.09.2010 06:45     C:\WINDOWS\Tasks\At7.job --------- 342 
 14.09.2010 06:00     C:\WINDOWS\Tasks\At31.job --------- 428 
 14.09.2010 06:00     C:\WINDOWS\Tasks\At55.job --------- 428 
 14.09.2010 05:45     C:\WINDOWS\Tasks\At6.job --------- 342 
 14.09.2010 05:00     C:\WINDOWS\Tasks\At54.job --------- 428 
 14.09.2010 05:00     C:\WINDOWS\Tasks\At30.job --------- 428 
 14.09.2010 04:45     C:\WINDOWS\Tasks\At5.job --------- 342 
 14.09.2010 04:00     C:\WINDOWS\Tasks\At29.job --------- 428 
 14.09.2010 04:00     C:\WINDOWS\Tasks\At53.job --------- 428 
 14.09.2010 03:45     C:\WINDOWS\Tasks\At4.job --------- 342 
 14.09.2010 03:00     C:\WINDOWS\Tasks\At28.job --------- 428 
 14.09.2010 03:00     C:\WINDOWS\Tasks\At52.job --------- 428 
 14.09.2010 02:45     C:\WINDOWS\Tasks\At3.job --------- 342 
 14.09.2010 02:00     C:\WINDOWS\Tasks\At51.job --------- 428 
 14.09.2010 02:00     C:\WINDOWS\Tasks\At27.job --------- 428 
 14.09.2010 01:45     C:\WINDOWS\Tasks\At2.job --------- 342 
 14.09.2010 01:00     C:\WINDOWS\Tasks\At50.job --------- 428 
 14.09.2010 01:00     C:\WINDOWS\Tasks\At26.job --------- 428 
 14.09.2010 00:45     C:\WINDOWS\Tasks\At1.job --------- 342 
 14.09.2010 00:33     C:\WINDOWS\Tasks\At25.job --------- 428 
 14.09.2010 00:31     C:\WINDOWS\Tasks\At49.job --------- 428 
 13.09.2010 23:45     C:\WINDOWS\Tasks\At24.job --------- 342
         

2.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\Yvyroc.exe 
C:\WINDOWS\Yvyrob.exe 
C:\WINDOWS\Yvyrod.exe 
C:\WINDOWS\Yvyroe.exe 
C:\WINDOWS\Yvyroa.exe 
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code: Alles auswählenAufklappen

ATTFilter

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

3.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

4.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
hjtscanlist v2.0 - Dateiliste

Hallo,

an Punkt 2 bin ich leider schon gescheitert: Ich habe auf Virus Total die betreffenden Dateien "hochgeladen", danach erschien der Hinweis "Sending File", und dann wieder die Startoberfläche der Website.

AVG sprang sofort auf die erste Datei an, und verschob sie in Quarantäne. Da die Analyse auch nicht funktioniert hat, als ich den Virus aus der Quarantäne auf den Desktop geholt habe, habe ich die anderen Dateien auch erstmal in Quarantäne gesteckt.

Ich habe zum Test eine harmlose Datei an Virus Total gesendet, da funktioniert die Analyse perfekt.

Soll ich mit den nächsten Schritten weitermachen?

Vielen Dank schonmal und viele Grüße

Achja,

und ich habe bei den Anwenderdateien noch einen komischen Ordner gefunden, indem nebst zwei .ini-Dateien auch folgendes Textdokument lag.
Betitelt mit "Enemies-names.txt"

Hilft das was?

...Und nochwas sehr gräßliches muss passiert sein - oder das AVG-Update hat Wunder gewirkt. Die Software hat sich heute aktualisiert und im Anschluss knapp 1000 Viren und Trojaner gefunden...

Hoffentlich wird das noch was mit meinem armen Laptop.

also die sind alle legitime Dateien...bitte aus Quarantäne alle wiederherstellen
dann mache folgendes:


1.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

2.
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
Schließe jetzt erneut alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an - wie unter Punkt 1. beschrieben
- Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Seit ich die Dateien aus der Quarantäne geholt habe, nervt mich AVG alle 5-30 Sekunden mit einer Sicherheitswarnung. Warum greift es "gute" Dateien an?

1. Außer an meinen Laptop kommen meine USB-Sticks beinah ausschließlich an MAcs. Möglich ist natürlich alles. Der momentane "Befall" ging in einem Moment so richtig los, als ich bei Megavideo etwas gescreamt habe...

Punkt 1 hat leider nicht funktioniert. Kaspersky ist der Meinung mein Java sei zu alt, obwohl es ausreichend ist. Deinstallieren kann ich das nicht, und AVG behauptet ja auch dauernd, irgendwelche Javadateien seien mit Viren verseucht.


2. Ich habe trotzdem auch den Scan mit Nod32 probiert. Nach den Nutzungsbedingungen kommt die Seite beim Laden aber nicht über 5 Balken hinaus. Könnte vielleicht auch an meinem Internet liegen.

Was rätst Du?

Vielen Dank Dir, und Gruß!

So lange dein AVG ständig überall eingreift bzw alles blockiert, können wir keinen sinnvollen Schritt machen

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\drivers\xktuu.sys
C:\WINDOWS\Yvyroc.exe
C:\WINDOWS\Yvyrob.exe
C:\WINDOWS\Yvyrod.exe
C:\WINDOWS\Yvyroe.exe
C:\WINDOWS\Yvyroa.exe
         

→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKCU\..\Run: [handlerfix70700en00.exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00.exe
O4 - HKCU\..\Run: [handlerfix70700en00 .exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00 .exe
O4 - HKCU\..\Run: [handlerfix70700en00 .exe] C:\Dokumente und Einstellungen\katharina nagler\Anwendungsdaten\FD5570642DE809CE2B1A413F38E8500B\handlerfix70700en00 .exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP

016  Einträge - alle!
         

3.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:
4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Synaptics\SynTP\Media\SynCtrl.dll
C:\Programme\OfficeUpdate11\oudetect.dll
C:\Programme\Nero\Nero 7\Core\mfc71u.dll
C:\Programme\Mozilla Firefox\freeb13.dll
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code: Alles auswählenAufklappen

ATTFilter

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

Neuer Tag, neues Glück. Da AVG mich zum Teil sekündlich nervt, lasse ich den residenten schutz die meiste Zeit aus. Deine Anweisungen haben gut funktioniert:

1.Avenger hat die erste Datein brav gelöscht, die y-viren hat er nicht gefunden. Ich glaube AVG hat sie nach einiger Zeit in der Virenquarantäne gelöscht, nachdem es auch eingesehen hat, dass die Viecher schädlich sind.

2. Fixen müsste auch geklappt haben. Nur die 04er Dateien habe ich so nicht gefunden. Es gab nur eine mit "HKCU" am Anfang, die hier windows/system.32/ctfmon.exe o.ä.

3. und 3.5 keine Probleme hier

4. Vier böse Buben.

Alle gewünschten Infos müsstest du im Anhangzip finden.
AVG spinnt immernoch.

Vielen Dank Dir.

Wie ich beführtet habe, das System ist infiziert mit "file infector Win32.Ramnit"...
Bei dieser Infektionsart wird der Virus alle ausführbare Dateien infizieren. Das heißt, alle startende Programme werden sofort infiziert, jetzt schon passiert bzw alle Systemdateien sind auch schon komplett befallen. Eine Heilung und Systemreinigung ist bei diese Art von Computerviren tatsächlich nicht möglich, gegen diesen Virusbefall kann man nichts mehr tun, weil ja der Virus infiziert alle ausführbare Dateien auf dem Laufwerk
Du kannst nur eins machen: dein ganzes System neu aufzusetzen
Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben!

► Also besorg' dir Killdisc die Festplatte zu richtig und gründlich zu entrümpeln - oder eben die Festplatte komplett formatieren
► Dabei sowohl auch auf alle externe Medium (extern gesicherte Daten) gilt, eine totale Löschung erforderlich!!
► Du darfst keine EXE und SCR, Archive und Backups, die eventuell solche Dateien enthalten) Daten sichern und zurückspielen, da sonst die Gefahr besteht, dass Dein Rechner wirklich wieder nach wenigen Minute wieder infiziert wird
wenn Du doch eine Datensicherung der für dich wichtigen persönlichen Dateien möchtest:
**Vor zurückspielen:
Problematisch sind vor allen Dingen ausführbare Dateien deswegen lautet die Empfehlung, eine solche Datensicherung vor zurückspielen gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern.
Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.

gute Rat von mir noch: Um eine erneute mögliche Infektion zu verhindern, bitte verzichte in der Zukunft auf P2P-FileSharing Netzwerke (eMule, Kazaa & Co)!