Hallo,

ich habe gestern richtig sch... gebaut:
Habe mir Think Point eingefangen und in meiner Panik es schnellstmöglich loszuwerden SpyHunter4 installiert und auch dummerweise die Vollversion gekauft. Nun habe ich gelesen, dass SpyHunter selber infizierte Spyware ist und es wieder deeinstalliert. Aber das kann es ja nicht gewesen sein.
Was muss ich tun, um beide wieder loszuwerden?
Muss dazu sagen, kenne mich damit überhaupt nicht aus, würde aber gerne zumindest meine Dateien retten.

Danke,
Narina2

hi, das nächste mal gleich hier melden, unsere hilfe ist kostenlos, außer ein user entschließt sich zu spenden, freiwillig. :-)

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Okay, ich habe beide txt Dateien.
Die eine habe ich angehängt, die andre ist leider zu groß (116 kb), was mache ich jetzt?

File-Upload.net
dort hochladen, link posten bitte

ok danke...
hier ist dann die 2te Datei zu finden:

hxxp://www.file-upload.net/download-2949200/OTL.Txt.html

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Habe jetzt combofix installiert und auch laufen lassen, jedoch wird mir keine combofix log erstellt. Das Programm bricht ab und es erscheint ein blauer Bildschirm mit dem Hinweis, dass ei nFehler verursacht wurde und und das Ganze abgebrochen wurde. Man soll neu starten und dann erscheint folgende Fehlermeldung
hxxp://www.file-upload.net/download-2949544/Fehlermeldung.doc.html

kannst du den pc in den abgesicherten modus starten, sollte bei pc start die f8-taste sein, dort combofix erneut probieren.

hat geklappt. Hier ist die combofix log zu finden:

hxxp://www.file-upload.net/download-2950789/ComboFix.txt.html

poste nen GMER report bitte.
http://www.trojaner-board.de/74908-a...t-scanner.html

das hat leider stunden gedauert

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15507 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-07 14:51:47
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2100AH_PL 004200A0
Running: 15z7l040.exe; Driver: C:\DOKUME~1\media\LOKALE~1\Temp\agpoqfod.sys


---- System - GMER 1.0.15 ----

SSDT            F7F65126                                 ZwCreateKey
SSDT            F7F6511C                                 ZwCreateThread
SSDT            F7F6512B                                 ZwDeleteKey
SSDT            F7F65135                                 ZwDeleteValueKey
SSDT            F7F6513A                                 ZwLoadKey
SSDT            F7F65108                                 ZwOpenProcess
SSDT            F7F6510D                                 ZwOpenThread
SSDT            F7F65144                                 ZwReplaceKey
SSDT            F7F6513F                                 ZwRestoreKey
SSDT            F7F65130                                 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                    sector 01: copy of MBR

---- EOF - GMER 1.0.15 ----
         

--- --- ---

wie läuft der rechner?

Der Rechner läuft soweit ganz normal, ich kann ins Internet, nur gestern hat sich der Desktop ganz komisch verändert, der Name unter den Symbolen ist plötzlich unscharf und dunkler geworden (weiß nicht, wie ich es besser beschreiben soll), musste dann neustarten, weil er sich aufgehängt hat.
Weiß aber nicht ob, das was damit zu tun hat. Davor habe ich das jedenfalls noch nicht beobachtet.

das liegt vllt auch an avira, es gibt da einige probleme in letzter zeit, beobachte das mal bitte, außerdem weiter
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Anbei die log Datei.
hxxp://www.file-upload.net/download-2955823/AVSCAN-20101108-145018-49131448.LOG.html

Es gab 5 Funde, kann ich die Dateien aus der Quarantäne löschen?