Hallo alle,
auf dem PC meiner Schwester sind mehrere Schadsoftwareprogramme. Sie war im Urlaub und nahm die Meldungen wohl nicht sehr ernst weshalb ich euch jetzt auch leider keine Namen nennen kann.
Im Moment lässt sich fast kein Programm mehr öffnen.
Wenn man es versucht, erscheint entweder das "Öffnen mit" Fenster oder ein blauer Kasten mit der Überschrift "Systemsteuerung" und dem titel "C:\WINDOWS\system32\rundll32.exe Anwendung nicht gefunden."
Im Abgesicherten Modus passiert dasselbe.
PC ist ein Asus Netbook mit Windows XP Sp3

Danke für die Hilfe

Multivitamin

Welcher Scanner hat was gefunden? Hast du die Logs dazu noch?

Danke für die Hilfe

Gefunden wurde von AntiVir, Malwarebytes und Adaware.
logs finde ich keine.

gruss Multivitamin

AntiVir im Hauptmenü unter Berichte/Ereignisse
Malwarebytes im Reiter Logdateien

aber es lässt sich leider kein Programm (inkl. Virenprogramme) mehr öffnen
gruss Multivitamin

Dann probier erstmal Malwarebytes aus. Falls das nicht geht so: http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Ich habe jetzt alles ausprobiert, auch mit OT Helper. Ich kann auf Kill All Processes klicken und dies wird auch getan. Internet Explorer öffnet bei dem Klick nicht und wenn ich Start Misc Programm auswähle und dann MBAM wähle passiert nichts.

Danke für die Hilfe

Multivitamin

Das gleiche auch im abgesicherten Modus mit Malwarebytes?

ich bin jetzt im Abesichertem Modus über das Administrator Konto drin und es ging sofort mit dem Klick auf MBAM ohne es umzunennen zu müssen. Ist das richtig oder muss ich auf das "normale" Konto (auch mit Admin rechten)

für die Hilfe
Multivitamin

Der Administrator hat genügend Rechte
Speicher nach dem Scan das Log noch im abgesicherten Modus direkt auf C: oder dahin wo du es schnell wiederfindest. Im echten Modus, solltest du ihn wieder verwenden können, bist du nämlich nicht im Profil von "Administrator" sondern in deinem User. Jeder User hat seinen eigenen bereich.

So ich habe jetzt das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5363

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09.04.2011 23:53:24
mbam-log-2011-04-09 (23-53-24).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 250265
Time elapsed: 36 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 3
Folders Infected: 0
Files Infected: 21

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\mutao.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\ybagf.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Media\anwendungsdaten\Uzygbe\cazo.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Media\lokale einstellungen\Temp\asxmrcweon.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Media\lokale einstellungen\Temp\recsowanxm.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefaa.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefab.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefaf.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefag.exe (Trojan.CodecPack) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefai.exe (Trojan.CodecPack) -> Quarantined and deleted successfully.
c:\WINDOWS\Xgefaj.exe (Trojan.CodecPack) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\16.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\19.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\1A.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Media\startmenü\programme\security tool.lnk (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\0.80062713438592.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
         

Danke für die Hilfe!

Multivitamin

Zitat:

Database version: 5363

hast dudas Update vergessen oder war das nicht möglich?!
Wenn nicht möglich, nimm den abgesicherten Modus mit Netzwerktreibern und mach es nochmal! Ansonsten im normalen Modus scannen wenn es geht!

Hallo,
so hab jetzt geupdatet und erneut gescannt (quickscan). Reicht ein Quickscan oder soll ich nochmal einen Full Scan machen?
Diesmal wurde weniger gefunden als das letzte mal.

Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6322

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.04.2011 13:39:11
mbam-log-2011-04-10 (13-39-11).txt

Scan type: Quick scan
Objects scanned: 160622
Time elapsed: 3 minute(s), 57 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 2
Registry Data Items Infected: 1
Folders Infected: 1
Files Infected: 8

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CY08W456F0 (Trojan.Downloader) -> Value: CY08W456F0 -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ncg.exe" -a "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Folders Infected:
c:\tko_je\to_rekao (Worm.AutoRun) -> Quarantined and deleted successfully.

Files Infected:
c:\WINDOWS\Temp\Xml.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Media\lokale einstellungen\Temp\mroanwescx.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\77.tmp (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Xmj.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Xmk.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Xmm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\tko_je\to_rekao\DesKTop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
         

gruss Multivitamin

Ich will schon einen Vollscan sehen mit den aktuellen Signaturen.

Hier der neue Scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6322

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.04.2011 14:29:43
mbam-log-2011-04-10 (14-29-43).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 262936
Time elapsed: 37 minute(s), 2 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programme\EeePC\ACPI\ETDApi.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
         

für die Hilfe
Gruss Multivitamin