Hallo zusammen,

ich habe ein großes Problem!
Ich habe mir den Trojaner "Security Tool" gefangen, ein angebliches Sicherheitsprogramm, das mir dauernd Falschmeldungen zu angeblichem Virenbefall anzeigt!

Ich habe schon versucht, Panda Security und den SpyDoctor zu installieren, aber das wird durch Security Tool geblockt!

Einen sehr guten Beitrag zum Programm habe ich bereits hier
( h**p://www.trojaner-board.de/81432-securitytool-security-tool-entfernen.html ), auf dem Trojanerboard gefunden, aber ich konnte weder die hier zum Download gestellte Datei "rkill" öffnen, noch die zweite Datei "iExplore"! Gleiches gilt leider für das hier empfohlene Malwayre-Programm "MalwareBytes"!

Ich weiß nicht mehr, was ich noch versuchen könnte, weil ich überhaupt nicht mehr ins Internet komme, und noch nichtmal simple Dinge, wie den Taskmanager öffnen kann!

Hat sich Security Tool selbst irgendwie ein Update verpasst oder warum ist das bei mir so hartnäckig??
Ich bin echt am Verzweifeln!!!

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Danke schonmal für die schnelle Antwort!
Ich bin aber leider am Wochenende jetzt nicht zu Hause!

Sobald ich wieder da bin, mache ich diesen Versuch und poste dann hier das Ergebnis....
Mal schauen....

jo, das machen wir schon :-)

Hallo,

also ich habs irgendwie eben noch nicht hinbekommen, die Datei auf die CD zu brennen!
Was hätte ich denn beim Brennen mit dem ISO-Programm genau drücken müssen?? Ich dachte, es hätte geklappt, aber die CD wurde im Explorer als leer angezeigt....

Ich wollte nun eben von der CD booten, was nicht geklappt hat!
Dadurch bin ich allerdings in den Abgesicherten Modus gekommen, über den ich arbeiten kann!
Jetzt versuche ich mal, Security Tool so mit Malwarebytes zu löschen! Ich schreib dann morgen, wie es gelaufen ist, weil ich heute hier nicht mehr ins Internet komme....

Würde mich freuen, wenn man mir das mit dem ISO-Programm mal erklären könnte! :P

Also,
ich war im Abgesicherten Modus drin und hab den Malware Bytes-Scan gemacht!
Damit wurde auch Security Tool gefunden und ich habs entfernt!

Als ich dann den PC normal gestartet habe, war es aber immernoch da....

Kann mir nochmal genau beschrieben werden, wie ich das mit dem Brennen mache, weil mein PC bootet automatisch zuerst von der CD! So stehts zumindest in den Einstellungen im Boot-Menu.....

kannst du das Malwarebytes log mal posten, aus dem abgesicherten modus heraus?
hast du ein 32 bit system? wenn ja nutze mal combofix im abges.modus und poste das log
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Gute News und Danke schonmal!!!

Ich habe nun noch ComboFix laufen lassen und jetzt ist SecurityTool weg......
Beim Normalstart von Windows danach kam nichts mehr und ich kann auch wieder über den Firefox-Browser ins Internet!!!

Hier das Malwarebytes-log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

22.11.2010 20:49:12
mbam-log-2010-11-22 (20-49-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 114796
Laufzeit: 9 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Lars\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
         

Und hier das log von ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-11-23.01 - Lars 23.11.2010  21:01:26.1.1 - x86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.364 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lars\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Lars\Anwendungsdaten\chkntfs.dat
c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\04644575.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))
.

2010-11-22 19:39 . 2010-11-22 19:39	--------	d-----w-	c:\dokumente und einstellungen\Lars\Anwendungsdaten\Malwarebytes
2010-11-22 19:38 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-22 19:38 . 2010-11-22 19:38	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-22 19:38 . 2010-11-22 19:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-22 19:38 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-10 14:39 . 2010-11-10 14:39	--------	d-----w-	c:\programme\ICQ6Toolbar
2010-11-10 14:38 . 2010-11-10 14:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-11-10 14:36 . 2010-11-10 14:36	--------	d-----w-	c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\AOL
2010-11-10 14:36 . 2010-11-10 14:39	--------	d-----w-	c:\programme\ICQ7.2
2010-10-31 11:44 . 2010-10-31 11:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-04 15:42 . 2009-03-23 17:43	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-04 15:42 . 2009-03-23 17:43	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-09-18 10:22 . 2008-04-14 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2008-04-14 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2008-04-14 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2008-04-14 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-09 13:32 . 2008-04-14 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-09-09 13:32 . 2008-04-14 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-09 13:32 . 2008-04-14 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-09-09 13:32 . 2008-04-14 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-09-08 15:57 . 2008-04-14 12:00	389120	----a-w-	c:\windows\system32\html.iec
2010-09-01 11:50 . 2008-04-14 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2008-04-14 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2008-04-14 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2008-04-14 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2008-04-14 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2008-04-08 671796]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2008-10-30 1134592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"nwiz"="nwiz.exe" [2008-10-07 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2008-04-08 671796]

c:\dokumente und einstellungen\Lars\Startmen�\Programme\Autostart\
chkntfs.exe [2008-4-14 92160]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Speedport W 102 WLAN Manager.lnk - c:\programme\DT\Speedport W 102 Stick\UI.exe [2008-11-9 741376]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lars^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\Lars\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
2008-07-22 11:34	2772992	----a-w-	c:\programme\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-11-10 14:36	133432	----a-w-	c:\programme\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-07-16 11:20	25604904	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17	149280	-c--a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XboxStat]
2007-09-26 17:05	734264	-c--a-w-	c:\programme\Microsoft Xbox 360 Accessories\XBoxStat.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\EA Sports\\FIFA 09\\FIFA09.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.03.2009 18:43 135336]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [10.11.2010 15:39 247096]
S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [31.10.2008 11:35 61440]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [31.10.2008 11:35 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [31.10.2008 11:35 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [31.10.2008 11:35 17536]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\x87sz1e9.default\
FF - prefs.js: browser.startup.homepage - hxxp://ecosia.org/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-23 21:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1454471165-362288127-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:77,0b,8c,8f,e4,90,86,e2,e9,70,70,63,d0,8e,d9,f4,05,71,9b,64,e2,
   a9,95,57,8c,d7,6d,39,0d,0b,af,98,91,f3,56,c8,28,af,7f,1b,ff,49,a0,6b,75,2a,\
"rkeysecu"=hex:24,7e,74,38,e8,12,55,f8,b9,ac,9d,1a,a3,38,5a,04

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-11-23  21:14:05
ComboFix-quarantined-files.txt  2010-11-23 20:13

Vor Suchlauf: 10 Verzeichnis(se), 47.717.437.440 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 48.138.600.448 Bytes frei

- - End Of File - - 3C4F6365F6D2E4E88E5E055FB7FEFD07
         

Ist mein PC jetzt wieder sicher?
Also ich mein, SecurityTool ist weg, aber kann ich jetzt wieder OnlineBanking machen oder nicht? Kann man das irgendwie an den beiden logs erkennen?

P.S. Nur nochmal zur Erinnerung: Nach dem Malwarbytes-Scan war SecurityTool noch nicht weg!

öffne den arbeitsplatz, c: dann rechtsklick auf qoobox, mit winrar oder zip packen, hochladen
http://www.trojaner-board.de/54791-a...ner-board.html

Okay, hab die Datei hochgeladen.....

Von meinem Avira AntiVir kam aber jetzt nochmal folgende Meldung:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\temp\17.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.3626.8' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f5392e3.qua' verschoben!
         

Sind das jetzt nur unschädliche Reste von SecurityTool oder ist mein PC immer noch infiziert?

update mal Malwarebytes un mache nen komplett scan, funde löschen, log posten.

Okay, also beim Suchlauf wurden 4 infizierte Dateien gefunden, 3 mal "Rogue.SecurityTool" und 1 mal "Trojan.Downloader"!

Hier ist die log-Datei:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5183

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

24.11.2010 19:52:11
mbam-log-2010-11-24 (19-52-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 238084
Laufzeit: 1 Stunde(n), 20 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Lars\Startmenü\Programme\Autostart\chkntfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\04644575.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{ACA92A71-4298-4C3E-8C74-48C055D04B73}\RP604\A0080735.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Lars\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
         

kannst du mal nen neustart machen und dann nen Malwarebytes quick scan, will sehen ob er die dateien wirklich entfernen konnte.

Keine Funde!

Hier das log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5183

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

24.11.2010 21:06:05
mbam-log-2010-11-24 (21-06-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140795
Laufzeit: 7 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

pc neustart

start programme zubehör editor, kopiere rein:

Killall::
Rootkit::
C:\Dokumente und Einstellungen\Lars\Startmenü\Programme\Autostart\chkntfs.exe

Datei speichern unter, ort dort wo sich combofix.exe befindet. typ alle dateien, name cfscript.txt
ziehe cfscript auf combofix, programm startet log posten