Ich poste die Anleitungen nicht damit du es dann doch ganz anders machst

*Achtung: Den Fund im Ordner "System Volume Information" und weitere nach Möglichkeit noch bestehen lassen! Das ist deine Systemwiederherstellung und evtl. benötigen wir den Punkt noch.
Das heisst, dass du die Datei bestehen lassen solltest... Es kann der (zugegeben: seltene) Fall eintreten, dass wir dein System während der Bereinigung mittels SW wiederherstellen müssen und man sagt so schön: Besser einen verseuchten Systemwiederherstellungspunkt, als gar keinen.


Alles, was in dem Ordner gespeichert wird, unter anderem deine Datei A0104769.exe sind lediglich zur Systemwiederherstellung gedacht und die wird erst dann aktiv, sofern du einen alten Punkt wiederherstellst. Wenn du sie nicht verwendest, wird die datei vermutlich rein gar nichts anstellen.
Malware speichert sich gern mal in der Systemwiederherstellung, da viele Windowsuser bei PC-Problemen zuerst einmal auf sie zurück greifen, da das ja oft bei Problemen auch greift, aber dann trotzdem weiterhin ihre Malware am PC haben.
Um die Systemwiederherstellung kümmern wir uns eh später noch seperat.
Systemwiederherstellung


Zu dem MemeoBackup: Ich kenn das Programm grade überhaupt nicht, aber sollte es tatsächlich so sein, dass es alle 3-5 Sekunden irgendwelche Dateien sichert würd ich mich nicht wundern, wenn der PC dann permanent arbeitet und der Prozess alles auslastet.


Also nochmal: Halte dich genau exakt an die Anleitungen! Mit OTL unter allen Usern scannen ist überhaupt nicht nötig.
Es ist wichtig, dass du dich an die Anleitungen hältst und nicht selber irgendwelche Aktionen startest, sonst kann ich dir mit der Malware nicht helfen!

Hallo rea,

sorry, ich hatte deine Anleitung so verstanden, dass alle Treffer zu löschen seien. Deine Formulierung war für mich interpretationsfähig und ich habe sie leider falsch ausgelegt. Jetzt habe ich verstanden, was der Sinn deiner Anweisung war, mir war nicht klar, dass es besser sein kann durch die Systemwiederherstellung ein verseuchtes System hin zustellen statt gar keines und Du diese Möglichkeit offen halten wolltest.
Und dass die Datei ungefährlich ist, solange sie dort steht, konnte ich nicht ahnen, ich habe nicht täglich mit Malware zutun. Nochmal sorry.
Ist die Möglichkeit der Systemwiederherstellung jetzt verloren oder der Erfolg ggf. ungewiss.
Es wäre trotzdem toll, wenn Du mir weiterhelfen könntest.

Das mit dem MemeoBackup werde ich noch weiter beobachten und nach etwas suchen, dass nicht diese Effekte hat.

Danke und viele Grüße

Okay, kein Problem Tut mir leid, wenn es so unklar rüberkam beim nächsten Mal einfach nachfragen wenn etwas unklar ist. Wir können natürlich noch weiter bereinigen, ich schau morgen in die Logs.

1.) Deinstallation von Software

• -> Start
• -> Systemsteuerung
• -> Software
• Wähle nun jeweils eine Software aus:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  PDFCreator Toolbar
           

• -> ändern/entfernen und deinstallieren.

Deinstalliere bitte jede Software aus dieser Liste, die vorhanden ist.





2.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :OTL
  O4 - HKLM..\Run: []  File not found
  O4 - HKLM..\Run: [Arcor Online]  File not found
  O4 - HKCU..\Run: [Arcor Online]  File not found
  O32 - AutoRun File - [2006.10.13 13:50:51 | 003,834,762 | R--- | M] (Macromedia, Inc.) - H:\Autorun.exe -- [ CDFS ]
  O32 - AutoRun File - [2006.10.17 16:24:41 | 000,000,041 | RH-- | M] () - H:\autorun.inf -- [ CDFS ]
  O32 - AutoRun File - [2003.04.07 10:30:18 | 000,000,050 | R--- | M] () - M:\AUTORUN.INF -- [ CDFS ]
  O32 - AutoRun File - [2006.11.30 06:45:30 | 000,000,132 | ---- | M] () - U:\autorun.inf -- [ NTFS ]
  O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell - "" = AutoRun
  O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell\AutoRun - "" = Auto&Play
  O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell\AutoRun\command - "" = D:\Setup.exe -- File not found
  O33 - MountPoints2\H\Shell - "" = AutoRun
  O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play
  O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Autorun.exe -- [2006.10.13 13:50:51 | 003,834,762 | R--- | M] (Macromedia, Inc.)
  O33 - MountPoints2\U\Shell\AutoRun\command - "" = U:\Install FreeAgent Tools.exe -- [2007.02.09 02:29:48 | 146,041,088 | ---- | M] (Seagate
  [2010.10.20 12:08:26 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
  [2009.04.16 12:24:14 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
  [2009.04.16 12:24:14 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
  [2009.04.16 12:24:14 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
  [2009.04.16 12:24:14 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll
  :Commands
  [PURITY]
  [EMPTYTEMP]
  [CREATERESTOREPOINT]
           

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.) Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.





4.) Gmer - Rootkitscan
Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?
           

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.





5.) Einstellungen prüfen

Stelle sicher, dass bei dir alle Ordner und Dateien angezeigt werden:

• Starte den Windows Explorer (Rechtsklick auf Start -> Explorer)
• => Extras
• => Ordneroptionen
• => Ansicht
• Ändere folgende Einstellungen:
  • Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
  • Entferne den Haken bei Geschützte Systemdateien ausblenden
  • Setze den Haken bei Inhalte von Systemordnern anzeigen
  • Unter "Versteckte Dateien und Ordner" setzt du den Punkt bei Alle Dateien und Ordner anzeigen

6.) Dateiüberprüfung auf Virustotal
Besuche www.virustotal.com
Suche dort nacheinander folgende Dateien und lade sie über den Button "Send file" hoch.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\DRIVERS\a19346b.sys
C:\WINDOWS\System32\Drivers\a19346c.sys
C:\Programme\Familien-Internet\Zeiten\user.exe
         

Die Überprüfung kann einige Minuten dauern. Wenn die datei bereits geprüft wurde, lasse sie erneut prüfen. Poste mir die Ergebnisse mit Kopf und allem in Codetags hier in den Thread.
Wenn eine Datei nicht zu finden ist, sag mir bitte Bescheid.

Hallo rea,


Punkt 1 ist erledigt.


Was soll in Punkt 2 Fixen mit OTL

Klick auf .

bedeuten?
Gibt es irgendwann im OTL einen Button mit Punkt "." ?


Zu Punkt 6.
ich soll die Dateien auf meinem Rechner suchen und hochladen, ok?
Wie kann eine Datei schon einmal geprüfft worden sein, ich habe sie doch noch garnicht hochgeladen?
Kann ich Punkt 6 vorziehen um die Wartezeit zu verkürzen oder ist die Reihenfolge der Punkte auch hier essentiell.


Grundsätzliche Fragen:

Ist es ein Problem, wenn ich die notwendigen Programme jetzt schon runterlade oder dürfen diese erst direkt vor der Benutzung runtergeladen werden? Ersteres würde vielleicht ein wenig Zeit sparen.


Ich habe diverse Anwendungen in der Quick-Startliste soll ich diese auch beenden bzw da rausnehmen?

Darf ich Punkt5 auch jetzt schon prüfen? Ich glaube die Einstellung sind schon so gesetzt.

Danke für die weitere Hilfe.

VG
Matthias

Zitat:

Was soll in Punkt 2 Fixen mit OTL

Klick auf .

bedeuten?
Gibt es irgendwann im OTL einen Button mit Punkt "." ?

Nein, da ist der "OK"-Button gemeint, ist wohl verlorengegangen.

Zitat:

Zu Punkt 6.
ich soll die Dateien auf meinem Rechner suchen und hochladen, ok?

Richtig

Zitat:

Wie kann eine Datei schon einmal geprüfft worden sein, ich habe sie doch noch garnicht hochgeladen?

Sie wurden dann von anderen Usern bereits hochgeladen von ihren Computern. Das liegt dann am gleichen Dateinamen und dem Ort wo sie sich befindet.

Zitat:

Kann ich Punkt 6 vorziehen um die Wartezeit zu verkürzen oder ist die Reihenfolge der Punkte auch hier essentiell.

Halte dich bitte an die Reihenfolge der Anleitung!

Zitat:

Ist es ein Problem, wenn ich die notwendigen Programme jetzt schon runterlade oder dürfen diese erst direkt vor der Benutzung runtergeladen werden?

Kannst du gerne auf einmal runterladen, wichtig ist der Zeitpunkt der Ausführung.

Zitat:

Ich habe diverse Anwendungen in der Quick-Startliste soll ich diese auch beenden bzw da rausnehmen?

Erklär mir bitte, was du nun genau mit Quickstartleiste meinst?

Zitat:

Darf ich Punkt5 auch jetzt schon prüfen?

Es ist wirklich viel einfacher, wenn du einfach der Reihe nach abarbeitest! Es würde ganz schon kompliziert werden, wenn wir für die einzelnen Schritte immer noch extra Abmachungen treffen würden oder findest du nicht.
Wenn die Einstellungen denn schon so stehen sollten, musst du das halt nur noch überprüfen und fertig. Eine Bereinigung dauert schon seine Zeit und die musst du dir nehmen, wenn du das hier machen möchtest.

Zitat:

Danke für die weitere Hilfe.

Gerne Dann lass mal was sehen.

hallo rea,

ich werde mich morgen vormittag dran setzen, dann bekommst Du anschliesend auch was zu sehen.


Quickstartleiste:
Ich dachte, so heißt der Teil der Taskleiste in der schon die Icons einiger Dienste zu sehen sind, die im Hintergrund laufen, z.B. Virenscanner, Druckerdeamon, Lanverbindungen etc..

Gute Nacht!

Matthias