Hallo, auf unserem EeePC Netbook mit Windows XP erscheinen seit gestern die 'Antivirus 2010' Fenster.
Ich habe Malewarebytes runtergeladen, upgedated und dann versucht einen vollständigen Scann zu machen, aber einigen Sekunden nachdem der Scann startet, verschwindet das MBW Fenster plötzlich und es geschieht nichts mehr.
(Da ich verschiedene Programme nicht starten kann, da ich 'nicht die Berechtigung habe' (z.B. auch MBW, Firefox) habe Programme und die Dateien im MBW Folder über 'cacls PFAD /G Jeder:F' wieder zugänglich gemacht.)
Ich habe auch Load.exe runtergeladen, aber wenn da TFC.exe läuft passiert das selbe, das Programmfenster verschwindet plötzlich und es passiert nichts weiter.
Auch HijackThis lässt sich nicht starten

Bin für Info dankbar, wie ich vor allem MBW wieder zum Scannen bringen kann.

Vielen Dank,
Marz

starte mal in den abgesicherten modus, sollte mit f8 funktionieren, den ohne netzwerk.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
kopiere die dateien zb auf nen stick und poste die über deinen zweit pc.

Ich habe
- OTL.exe runtergeladen
- im abgesicherten Modus gebootet (als admin user)
- OTL gestartet
- die entsprechenden Häckchen gesetzt und den Text kopiert
- Scan gedrückt
und das OTL Fenster hat sich sofort geschlossen

Ich habe versucht OTL nochmals zu starten, aber es gab keine Reaktion.
Erst nach cacls OTL.exe /G Jeder:F konnte ich OTL erneut aufrufen.

Selbes Ergebnis. Im Task Manager ist der otl Prozess verschwunden, sobald ich auf Scan gedrückt habe.

(ich habe gelesen, dass man eventuel die Antivirus 2010 Prozesse zuerst killen muss, bevor man das Programm entfernt?)

ja das wäre meine nächste idee. da du ja kein cd rom laufwerk hast. wenn die prozesse geschlossen bleiben, dann otl noch mal versuchen.
wenn nicht
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
combofix wie folgt speichern
rechtsklick, ziehl speichern unter.
lösche den namen
combofix.exe
schreibe:
2345.com
speichere und im abgesicherten modus laufen lassen

Ich habe es mit rkill.com versucht, aber OTL hat wieder gleich reagiert.

Leider das selbe mit dem 12345.exe genannten combofix.
Wieder im abgesicherten Modus ohne Netz und admin user.
Nach dem Starten von 12345 erschein ein Balken, der zeigt, dass etwas geladen wird und der Prozess 12345.exe läuft. Wenn der Balken voll ist, zeigt die Sanduhr, dass ein paar Sekunden weitergearbeitet wird, dann verschwindet der Prozess und nichts passiert mehr

Wäre es eine Option einen Wiederherstellungspunkt zu wählen und das System von z.B. vor einem Monat wiederherzustellen und dann die MWB laufen zu lassen? Oder bringt sowas üblicherweise nichts?

du sollst es 2345.com nennen bitte.
kannst du vorher rkill.com laufen lassen und dann das umbenannte combofix laufen lassen, im abgesicherten modus ohne netzwerk.
das log von rkill.com evtl. auch posten.

Tut mir leid wegen des falschen Namens.

Habe combofix nochmal als 2345.com runtergeladen
In abgesicherten Modus ohne Netz gebootet
rkill laufen gelassen

Code: Alles auswählenAufklappen

ATTFilter

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Admin on 30.11.2010 at 16:43:58. 


Services Stopped:


Processes terminated by Rkill or while it was running: 


\\.\globalroot\Device\svchost.exe\svchost.exe
C:\Dokumente und Einstellungen\Admin\Desktop\rkill.com


Rkill completed on 30.11.2010  at 16:44:02.
         

dann 2345.com gestartet, wieder Lade-Balken, einige Sekunden mit Sanduhr gearbeitet, dann ist der Balken verschwunden ohne weitere Aktion.


Ich habe dann rkill noch einige Male laufen lassen, es ist immer das gleiche Log gezeigt worden und im Task Manager (denn ich diesesmal offen hatte) waren immer durchgehend 4 svchost.exe Prozesse zu sehen, auch während rkill gelaufen ist (also man hat nichts gesehen, dass einer der svchost.exe Prozesse auch nur kurzzeitig verschwundenwäre).

Ich habe die Prozedur inzwischen mit allem Rkill Versionen (.com, .exe, .scr, iExplore und eXplorer) versucht, aber immer das gleiche Ergebins.

ok, wie wäre es, wenn du daten sicherst und wir das netbook auf auslieferungszustand zurück setzen, dann vernünftig absichern, mit backup software zb, so das du dann besser geschützt bist und im notfall in 5 minuten ein sauberes bs hast.

Ja wird wohl darauf hin hinauslaufen, wenn sich keines der Programme starten läßt. Gibt es da eine Anleitung? Werde dann mal in den nächsten Tagen alle Daten auf ein externes Laufwerk sichern.
Danke für die Hilfe.

ja sichere erst mal alle daten und dann geb ich dir ne genaue anleitung.

Hat zwar etwas gedauert, aber jetzt bin ich soweit heute Abend das Netbook in den Auslieferungszustand zurückzuversetzen. Soweit ich gelesen habe sollte es in dem meisten Fällen so gehen: mit F2 Quick Boot im BIOS abstellen, dann F9 beim Start und 'restore factory setting' wählen. Sonstige Tipps oder beachtenswerte Details?
Vielen Dank!

Leider hat sich herausgestellt, dass F9 nicht funktioniert und daher ist im Moment mal Ende der Fahnenstange, bis ich einen anderen Weg zur Systemwiederherstellung gefunden habe.