C:\dir\install\install\Windows Update.exe
 

Hallo Leute,

ich habe etwas ganz dummes gemacht. Mir übers Usenet bischen was runterladen wollen. War ne große ZIP-Datei. Habe ich mit avast! Pro Antivirus gescannt. Keine Gefahr gefunden.
ZIP-Datei geöffnet und die vorhandene EXE-Datei ausgeführt, dachte der Inhalt wäre so in einem selbstextrahierenden Archiv verpackt worden.

Seit dem läuft beim Booten von Windows 2x hintereinander irgendetwas im Hintergrund (sieht wie aus DOS-Fenster).

Habe versucht den Ordner komplett zu löschen, wird jedesmal wieder neu angelegt.

Mir dann defogger runtergeladen und ausgeführt.
Nach Erledigung kam kein Hinweis auf Neustart. Also habe den mal gelassen und das Fenster (wo man Disable Re-enable auswählen kann) offen gelassen.

Habe dann OTL (Version 3.2.31.0) runtergeladen und ausgeführt. Einstellungen so belassen und nur den Text activex....CREATERESTOREPOINT reinkopiert.
Warum bei den Einstellungen nicht alles auf Alles stellen und Scanne alle Benutzer? Ganz spontan würde ich immer alles auswählen um bis ins letzte Details alles zu scannen.
Habe als Ergebnis aber nur eine OTL.Txt bekommen, keine Extra.txt.
Auf Desktop habe ich von letztem Jahr (oder früher) einen Ordner MFTools noch gehabt. Da war auch das OTL dabei. Da kam aber OTL.Txt und Extras.Txt.
Dachte mir lädtst Dir OTL neu runter (für neuere Version).

Dann habe ich gmer runtergeladen. avast!... deaktiviert und LAN-Kabel vom Schlepptop rausgezogen (WLAN gar nicht eingerichtet).
Gmer 1.0.15.15281 gestartet und so eingestellt wie in Anleitung steht.
Über Save hat das Programm dann eine LOG-Datei erstellen wollen. Auf TXT konnte ich nicht umstellen. Schlimm?
Gmer.log.txt kann ich nicht hochladen. Zu groß sagt mir der Dialog.

Kann jetzt auf einmal keine TXT-Dateien mehr bearbeiten:
"NOTEPAD.EXE hat ein Problem festgestellt und muss beendet werden."

Starte den PC neu und versuche dann zu ändern. Und dann zu posten.

Danke und LG Data.



PS: Sorry ich glaube mir sollte man lieber den PC wegnehmen. EXE-Datei einfach starten, ist schon mehr als "nur" dämlich :-(

Anhang 23967

Anhang 23968

Hier noch die LOG-Datei GMER


THX und LG
Data

Anhang 23975

Hallo Leute,

habe zusätzlich mal ein Komplettscan mit Malwarebytes' Anti-Malware gemacht. Zuvor aktualisiert. Habe gedacht ein Scan ändert ja nix am System, kann also nicht schaden das ich etwas voreilig bin. Habe aber nix sonst gemacht.

Hier der Log:

Anhang 24079

Thx
Data

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo cosinus,

:dankeschoen: für die Hilfe.

Hier der Inhalt der log.txt-Datei:


So wie ich das lese, ist nur ein Schädling da?! Warum zeigt das Malwarebytes' Anti-Malware viel mehr an? Verstehe ich nicht.

LG und ne gute N8.
Data

Das sind zwei grundverschiedene Scanner! Jeder arbeitet mit einer anderen Methode und anderen Signaturen. Wenn jeder Scanner ein und dasselbe Ergebnis liefern würde, bräuchte man nicht ESET, Malwarebytes oder SASW nacheinander auszuführen!

Mach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo cosinus,

hier der Inhalt von OTL.txt:

OTL Logfile:
--- --- ---


Vielen Dank und LG
Data

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

vielen Dank.

Habe alles so gemacht. Neustart kam auch.

Habe dann als erstes direkt wieder das avast! Antivirus aktiviert. Hoffe das war richtig.

Hier die Log-Einträge:

Internet Explorer hat jetzt wieder ne Page von MS als Startseite. War das auch so richtig? OK, kann ich ja wieder manuell umstellen.

Muß ich eigentlich verstehen was ich da alles gemacht habe?


LG und vielen Dank.
Gute Nacht
Heiko


PS: Ist Schlepptop jetzt wieder clean?

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Arne,

habe den Ordner MovedFiles mit WinRAR als ZIP-Datei gepackt und hochgeladen. Habe kein WinZIP. Nur den WinRAR.

Hat alles einwandfrei geklappt.

Vielen Dank!

LG
Heiko

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Arne,

habe den TDSSKiller laufen lassen.

Auf meine Dokumente kann ich aber zugreifen. Habe da z. B. bei einer PDF-Datei keine Probleme gehabt. Also brauche ich demzufolge kein unhide. Ne?

Hier der Log:

Hat ja noch einiges gefunden wenn ich das richtig lese. Dachte ich wäre jetzt durch :-(

Vielen Dank und schönen Tag noch
Heiko

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Arne,

habe mir das ComboFix runtergeladen und auf Desktop abgelegt.

Habe mir auch mal die Anleitung angeguckt und ausgedruckt. Dazu auch diese Anleitung von Dir hier.

Mein Antivirus avast! Pro Antivirus deaktivieren ist klar. Aber Firewall von Windows XP auch deaktivieren?

Wenn ich dann ComboFix starte, soll man nirgendwo mit der Maus klicken. Du schreibst ich soll Benutzung Maus und Tastatur vermeiden.
Wie kann ich dann den Haftungsauschluß akzeptieren und die Updates starten?

Vielen Dank.

LG
Heiko