hey
ich habe seit gestern aben das fake-programm "system tool" auf meinem laptop.. ich hab jetzMalewarebytes gurchlaufen lassen und die 7 infizierten dateien gelööscht.. nach dem neustart gabs keine anzeichen von der spyware (normales hintergrundbild, etc..) is jetzt alles weg??
die logdatei hab ich angehängt..
danke im vorraus für die antworten..

so hab jetzt auch noch OTL durchlaufen lassen.. hier die logs

Zitat:

c:\Windows\kmservice.exe (RiskWare.Tool.CK)

Wasndas und wofür brauchst du das?

erstmal danke für die antwort und auf deine frage.. ich hab kein plan was das ist.. kann mich auch nicht erinnern dass ich das jemals gesehen habe oder grar geöffnet oder heruntergeladen..
derfum

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4:64bit: - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [RegistryBooster]  File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\Shell - "" = AutoRun
O33 - MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\Shell\AutoRun\command - "" = E:\Autorun.exe
[2011.02.26 23:35:28 | 000,000,000 | ---D | C] -- C:\ProgramData\aIhJpHp06504
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hey ich hab auf fixen geklickt und konnte dann kein logfile mehr offnen weil der sofort gesagt hat ich muss den pc neu starten.. hab nach dem neustart (alles im abgesicherten modus) die file geöffnet.. hoffe es is alles richtig..
danke
derfium

Zitat:

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RegistryBooster deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60d9a16e-bd0d-11df-b882-002318a35d5c}\ not found.
File E:\Autorun.exe not found.
Folder C:\ProgramData\aIhJpHp06504\ not found.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Marcel
->Temp folder emptied: 35739656 bytes
->Temporary Internet Files folder emptied: 55825033 bytes
->Java cache emptied: 3630346 bytes
->FireFox cache emptied: 30285052 bytes
->Opera cache emptied: 12040366 bytes
->Flash cache emptied: 2851230 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2689100 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 2165 bytes

Total Files Cleaned = 137,00 mb


OTL by OldTimer - Version 3.2.22.1 log created on 02282011_220624

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hey der sagt mir dass ich nocht antivir desktop im hintergrund laufen hab.. wie kann ich des ausmachen?

Wenn der Regenschirm geschlossen ist, kannst das ignorieren.

da ich meinen pc aber im abgesicherten modus starte seh ich keinen regenschirm..
und jetzt startet er im abgesicherten modus gar nicht mehr.. beim starten drücke ich f8 und wähle "abgesicherter modus mir netzwerktreibern" und dann wird er ganz schwarz und da steht was er alles offnet.. und da bleibt er dann hängen.. leider bin ich kein pc experte und weiß nicht was ich machen soll..


ok er startet im abgesicherten modus ganz normal..

Ja und wieso erwähnst du das mit dem abgesicherten Modus jetzt erst
Geht der normale Modus nicht mehr?

ich habe doch schon geschrieben dass ich ihn immer im abgesicherten modus starte.. und da hing er jetz nur einmal.. jetz fuktioniert er.. oder soll ich ganz normal starten?? der normale geht noch..

Zitat:

hab nach dem neustart (alles im abgesicherten modus) die file geöffnet..

Das war zuvor die einzige Passage mit "abgesicherter Modus"
Mach bitte alles im normalen Modus. Nur wenn man explizit den abgesicherten erwähnt, solltest du Windows in diesem Modus starten.

ok.. das heißt ich soll den normalen modus starten und cofi durchlaufen lassen?

Ja genau so

so is jetz im normalen modus durchgelaufen..
hier der log: