Trojaner-Board - Offen "Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

"Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht (https://www.trojaner-board.de/99706-recovery-bundeskriminalamt-malware-rkill-malwarebytes-oeffnen.html)

"Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht

Guten Tag,

wie Sie sicherlich schon nach dem Lesen des Thread-Titels vermuteten, habe ich mir nun ebenfalls diese hinterhältige Windows Recovery-Software eingefangen. Das ist nicht die erste große MalwareAttacke, die ich miterleben muss, damals hat mir das WinSecurity Center zugesetzt, welches ich mit RKill und Malwarebytes großteils beseitigte und so genug Freiheiten auf dem PC hatte, um meine wichtigen Dateien auf einer externen HDD zu sichern.
Dieses Mal ist es jedoch komplizierter, wie mir scheint.
Zuerste einmal habe ich Ihre Anleitung auf dem Board befolgt, wie man seine Ordner und Dateienw ieder sichtbar machen kann. Leider jedoch werden dadurch aber keine Daten/Ordner auf dem Desktop wieder sichtbar und die Malware ist ohnehin ziemlich schnell darin, meine Einstellungen dahingehend wieder zu sabotieren.
Gut, ich habe mir nun - da ich auf Firefox und nix anderes mehr zugreifen kann - auf einem anderen PC RKill und MalwareBytes heruntergeladen und mithifle einesUSB-Sticks auf meinen PC gebracht.
- Bei RKill habe ich zur Sicherheit auch die umbenannten Versonen "iExplorer.exe" und "eXplorer.exe" draugeladen. Jedoch startet davon keines erfolgreich, was ja generell schon einem ein großes Problem darstellt.
In meiner Verzweiflung versuchte ich dann trotzdem, Malwarebytes zu starten, was überraschenderweise funktionierte. Als die Software schon ca. 5 infizierte Dateien gefunden hatte bin ich für ca 45 Minuten weg vom PC gewesen, als ich wiederkam passierte dann das nächste Unheil.
Ihr kennt doch bestimmt diese Meldung vom "Bundeskriminalamt" die einen des Besitzes der Kinderpornographie und terroristischer e-mailAktivitäten bezichtigt? Genau, das war dann da. Also keine Taskleiste, kein Nix, nur noch das Ding zu sehen, welches dich um 100 Euro über UCash erpressen möchte und sonst mit Festplattenlöschung droht.
Seltsamerweise aber ist mein PC nach dem AUS/EIN-schalten nicht gesperrt wie im Internet zu lesen ist, jetzt ist das Ding auch weg.
Gut, nun versuchte ich dann auch nochmal MalwareBytes durchlaufen zu lassen, doch ohne Erfolg, wenn ich auf das Icon drücke funktioniert es nicht und wenn ich es nochmals Installieren möchte bekomme ich ein "RuntimeError" und die Installation bricht ab.

Nach manuellem Aus/Einschalten bin ich dann in mein zweites Benutzerkonte gegangen, welches noch etwas besser funktioniert als mein anderes, jedoch kann ich dort auch nicht online gehen etc. (online bin ich denke ich schon, aber keine Browser vorhanden).

Also, die Zusammenfassung:
- Windows Recovery hat mich
- Rkill und Malwarebytes starten nicht/werden vom "BKA" unterbrochen

Für mich käme es aktuell fast nicht in Frage neu zu installieren, da ich sehr viele, ausgesprochen wichtige Daten auf dem PC lagere und ich in kaum einen Ordner sehen kann bzw. irgenwelche Daten - daraus ergibt sich das Problem, dass ich nicht sehe, was wichtig sein könnte und ich nciht aus dem Gedächtnis heraus alles mit "Suchen" finde und dann auf die Externe kopiere.

Ich bitte euch Fachmänner hiermit unterwürfig, mir mit Rat und Tat zur Seite zu stehen. Ich bedanke mich im Voraus schon für jegliche Bemühungen und Hilfestellungen!

Okay, nun hat MalwareBytes nach mehrmaligem Neustart und Versuch doch geklappt, ohne dass etwas dazwischen gekommen ist (seltsamer Weise ohne, dass ich davor RKill nutzen musste).

Hier also der Log von MalwareBytes

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6711

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.05.2011 14:53:41
mbam-log-2011-05-29 (14-53-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|J:\|K:\|)
Durchsuchte Objekte: 272609
Laufzeit: 1 Stunde(n), 12 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\dokumente und einstellungen\all users\anwendungsdaten\macromedia\swfupdate\swfupdate.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{003541A1-3BC0-1B1C-AAF3-040114001C01} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SwUpdate (Trojan.Agent) -> Value: SwUpdate -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\macromedia\swfupdate\swfupdate.dll (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\egonusiecuxaxgi.exe (Trojan.FakeMS) -> No action taken.
c:\dokumente und einstellungen\Besitzer\Desktop\Desktop\Desktop\alles andere\My Data\sonstiges\alpluginie-1.0.2.3-setup.exe (Trojan.Dropper) -> No action taken.
c:\dokumente und einstellungen\simon cooper\lokale einstellungen\Temp\2E.tmp (Trojan.FakeMS.MGen) -> No action taken.
c:\dokumente und einstellungen\simon cooper\lokale einstellungen\temporary internet files\Content.IE5\KVCCLRL1\windows-update-sp2-kb96796-setup[1].exe (Trojan.LVBP) -> No action taken.
c:\dokumente und einstellungen\simon cooper\lokale einstellungen\temporary internet files\Content.IE5\NIWED38P\windows-update-sp3-kb97552-setup[1].exe (Rootkit.TDSS) -> No action taken.
c:\dokumente und einstellungen\simon cooper\lokale einstellungen\temporary internet files\Content.IE5\OIVY3HUN\update2[1].exe (Trojan.FakeMS.MGen) -> No action taken.
c:\programme\fileserve toolbar\ffmpeg.exe (Adware.Mp3Tube) -> No action taken.
c:\programme\fileserve toolbar\ShowMsg.exe (PUP.Zwangi) -> No action taken.
c:\dokumente und einstellungen\simon cooper\lokale einstellungen\Temp\0.4242345189553365.exe (Trojan.Dropper) -> No action taken.
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\Adobe\plugs\mmc38.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\simon cooper\anwendungsdaten\Adobe\plugs\mmc169.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\simon cooper\anwendungsdaten\Adobe\plugs\mmc46.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\15523620.exe (Trojan.Agent) -> No action taken.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.
c:\dokumente und einstellungen\simon cooper\eigene dateien\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

-------------

Ok, habe jetzt auch dieses unhide.exe laufen lassen, weil in meinem Hauptkonto überhaupt gar nix mehr ist, nur schwarzer Desktop und einige Star-Programme Einträge, die aber nur zu -leer- führen. Aber leider erzielte das nicht wirklich den gewünschten erfolg. Habe AntiVir auch deaktiviert, Schrim ist zu.
Was soll ich dahingehend tun?

:hallo:

Du befindest dich hier im falschem Unterforum.

Bitte lese folgendes vollständig.
Für alle Hilfesuchenden. Was muss ich vor der Eröffnung eines Themas beachten

und erstelle hier ein neues Thema.