Hallo

ich bin leider auch einer der jenigen der sich WindowsDiagnostic (WD) gefangen hat...

Ich habe AntiVir drüber laufen lassen und mehrere Trojaner entfernt, danach war das WD Symbole noch auf meinem Desktop zu sehen aber eine Deinstallation war nicht möglich.

Dann bin ich auf die Seite trojaner-board.de gestoßen und habe "Malwarebytes-anti Malware" durch laufen lassen dies hat ebenfalls nochmal vier Fehler gefunden die ich entfernt habe (der Report ist im Anhang).

Im Anschluss habe ich auch "OTL - Systemscan" laufen lassen, der Report ist ebenfalls im Anhang.
Die Fehler die mir jetzt auf Anhieb noch auffallen sind:
- sämtliche Datei/Ordner (die vor WD schon da waren) sind auf unsichtbar gestellt
- mein Hintergrundbild wurde erst entfernt und nach dem ich es wieder als Hintergrund eingestellt habe füllte es nicht mehr den ganzen Monitor aus, ich muss dazu sagen davor zwar auch nicht aber da war nur recht & links ein schwarzer Rand und jetzt ist es ein relative kleines Bild in der Mitte des Desktop. (Ich habe an meinem Laptop einen externen Monitor mit 23" angeschlossen)
- Vor meinen PDF-Dateien ist jetzt das Opera-Zeichen, es kann aber auch sein dass das Opera so wie so macht wenn man es installiert, dafür kenn ich aber den Browser noch nicht so gut um das 100% zu sagen.

Ich habe versucht den Anhang als Zip zu speichern, ich habe es auch extra runtergeladen über den Link der auf der Seite angegeben ist:
http://www.trojaner-board.de/69886-a...-beachten.html
aber in meinem Kontexmenu hatte ich trotzdem nur die Auswahl es als rar-Datei zupacken, wenn es nicht funktioniert hat dann bitte Bescheid sagen und ich stell die Reporte noch mal extra rein.

Wär schön wenn mir jemand sagen kann:
- ob alles entfernt ist
- was ich noch beachten muss
- ob ich "einfach" die Oberordner auf c: rechts anklicken soll und den Hacken bei versteck wieder raus machen kann
- wenn möglich alles wieder so hin bekomme wie es war bevor ich mir dieses "schöne" Programm gefangen habe
- und was ich evtl. sonst noch wissen muss .

Ich hoffe ich habe an alles gedacht, was ihr wissen müsst und bedanke mich schon mal für das lesen und Gedanken machen!!!

Viele Grüße
Mischermann

Zitat:

Ich habe AntiVir drüber laufen lassen und mehrere Trojaner entfernt

Bitte alle Logs nachreichen!! Auch von Malwarebytes!!

Zitat:

Im Anschluss habe ich auch "OTL - Systemscan" laufen lassen, der Report ist ebenfalls im Anhang.

Ähm, nee?

Zitat:

aber in meinem Kontexmenu hatte ich trotzdem nur die Auswahl es als rar-Datei zupacken,

Du kannst die gepackten Dateien auch da hochladen => File-Upload.net - Ihr kostenloser File Hoster!
und hier verlinken

Versuch zwei mit dem Anhang und ich glaube es hat funktiniert...

Ich schicke das jetzt erstmal ab und gucke dann gleich ob sie mit dran hängen ansonsten versuch ich es gleich mit dem File-upload. Also bitte nicht wundern wenn ich jetzt wieder eine Text ohne Anhang reinstelle.

Was mir heute aufgefallen ist das ich von AntiVir kein update mehr machen kann, ich weiß nicht ob es was damit zu tun hat aber ich dachte mir ich schreibe es mal mit dazu...

Grüße mischermann

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Nein alle Datei die ich habe, habe ich auch reingestellt. Soll ich das Programm noch mal scanen lassen?
Oder soll ich was anderes machen?

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo,

ich hab den scan durch geführt mit dem aktuellstem update. Aber es hat nichts gefunden, was ja schonmal nicht so schlecht ist.
Jetzt muss ich ja nur noch die Fehler korrigieren bzw die Schäden, richtig?
Wenn du mir dann auch noch sagen könntest wie ich es mache?

Noch ein Frage zu Malewarebytes, wo nach sucht das Programm genau, alles was nach meinem verständnis Viren sind, also alle unangenehmen Programme oder nur nach einer bestimmten Art?

Grüße
Christian

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51232
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "SearchElf 1.2 Customized Web Search"
FF - prefs.js..keyword.URL: "http://ecosia.org/lucky.php?q="
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 51232
FF - prefs.js..network.proxy.type: 2
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2769726&SearchSource=3&q={searchTerms}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ecosia"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://ecosia.org/lucky.php?q="
[2011.03.22 00:53:52 | 000,000,336 | -H-- | M] () -- C:\ProgramData\46128904
[2011.03.13 10:21:20 | 001,888,256 | -H-- | M] () -- C:\Users\***\s-1-5-21-4163595330-267597867-3549029199-1001.rrr
[2011.03.07 11:50:02 | 000,004,705 | -H-- | M] () -- C:\Users\Christian\AppData\Roaming\9876.58F
@Alternate Data Stream - 163 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Erledigt...
Wie immer findest du die Logfile im Anhang.

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.

Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Danke es ist alles wieder nicht mehr Versteckt aber hätt ich dann nicht auch einfach C: oder die Ordner auf c: markieren können und den hacken bei "Versteckt" raus machen können? Es gibt doch auch Ordner die Standard mäßig Versteckt sind die sind ja jetzt auch alle nicht mehr Versteckt, kann das auf irgendwas Auswirkungen haben???

Ich habe noch eine Verlinkung von WD auf meinem Desktop, kann ich die jetzt einfach löschen?

Grüße Christian

Zitat:

Es gibt doch auch Ordner die Standard mäßig Versteckt sind die sind ja jetzt auch alle nicht mehr Versteckt, kann das auf irgendwas Auswirkungen haben???

Nein. Das ist nur ein Attribut, das die Einblendung regelt. je nachdem ob man sich "versteckte" Objekte anzeigen lässt oder nicht.

WD? Western Digital? Natürlich kann das weg.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich meinte mit WD WindowsDiagnostic, dafür hatte ich es am anfang des Beitrags dazu geschrieben. Ich habe es jetzt auch noch nicht gelöscht.

Ich habe cofi.exe aus geführt und wieder angehängt.

Grüße
Chrisitan

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das sah zwar nicht so aus wie in der Beschreibung aber ich habe es trotzdem durchlaufen lassen.

Grüße Christian