EXP/Pidief.Csa.1.B in C:\Windows\System32\config\RegBack\COMPONENTS
 

Hallo,
Vor ein paar Tagen hat Avira malware mit dem Namen EXP/Pidief.Csa.1.B in C:\Windows\System32\config\RegBack\COMPONENTS gefunden. Ausgeführte Aktion ist Zugriff verweigern. Es wurde nichts in Quarantäne verschoben so wie ich das sehe. Wenn ich es versuche heisst es: sie haben nicht die Berechtigung diese Datei zu öffnen.

Symptome:
-In der Taskleiste kommen Icons die ich noch nie gesehen habe
-Der Computer hat sich gesperrt, und eine Taste die ich für mein Kennwort brauchte ging nicht mehr. Hab die Batterie raus dann gings wieder und habe das Passwort entfernt das ich zumindest noch zugang habe.
-Auf dem Desktop Tauchen Textdateien auf die heissen Desktop.ini (Konfigurationseinstellungen)
-Der Computer ist langsamer, auslastung im Schnitt bei 40- 50% Physikalischer speicher bei 60%

Was ich bisher gemacht habe:
Scans mit
-Malwarebytes
-Avira mit folgenden Einstellungen in einem Avira forum empfohlen:
Konfiguration

Antivir öffnen, unter Extras - Konfiguration bei Expertenmodus Haken setzen , dort alle Dateien und Rootkitsuche bei Suchstart markieren, auf Scanner - Suche gehen und dort die Dateiheuristik auf hoch setzen. Unter Scanner - Suche - Aktion bei Fund - automatisch und als primäre Aktion "ignorieren" wählen und den Haken bei "Datei vor Aktion in Quarantäne kopieren" setzen. Unter Archive den Haken bei Rekursionstiefe einschränken entfernen. Bitte auch Bootsektoren und Masterbootsektoren durchsuchen lassen und alle Archivtypen markieren.

Suchlauf 1. Scan

Danach unter Lokaler Schutz - Prüfen *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Rootkitsuche 2. Scan

Danach bitte noch einen 2. Scan - diesmal unter Lokaler Schutz - Prüfen Suche nach Rootkits und aktiver Malware auswählen. Bitte auf die Frage am Schluß des Scans, ob noch ein Scan über die Laufwerke durchgeführt werden soll mit „Nein“ antworten.

-Avira
-Superantispyware
und was ihr empfohlen habt:
-defogger
-otl
-gmer

so jetzt hänge ich noch sämtliche logdateien an und hoffe auf das beste
Merci Arunachala

PS. Es gibt noch einige logs weil ich es immer wieder probiert hab, das sind die Aktuellen...

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Whoof das war ein langer scan...
Danke fürs reinschauen, hier ist die log Datei:


ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9f13041163993846aaead25af6ab87a4
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-22 11:10:21
# local_time=2011-11-22 12:10:21 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 699205 58483467 740566 0
# compatibility_mode=5892 16776574 100 100 4093 159484306 0 0
# compatibility_mode=8192 67108863 100 0 4691 4691 0 0
# scanned=203315
# found=6
# cleaned=0
# scan_time=8617
C:\Users\cvh\AppData\Local\Temp\RarSFX0\mKMSAct.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I
C:\Users\cvh\AppData\Local\Temp\RarSFX1\mKMSAct.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I
C:\Users\cvh\AppData\Local\Temp\RarSFX2\mKMSAct.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I
C:\Users\cvh\AppData\Local\Temp\RarSFX3\mKMSAct.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I
D:\Madmax\activate_O10_x86.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I
D:\Madmax\restore_O10_x86.exe Win32/HackKMS.C application (unable to clean) 00000000000000000000000000000000 I

Netter Office-Crack! :pfui:
Nur leider ziemlich doof, denn Cracks sind illegal, verbreiten Schädlinge und werden hier nicht toleriert!

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Kannst du mir vielleicht noch kurz schreiben wer mir da weiterhelfen kann?

Du hilfst dir selbst mit Hilfe der Anleitung zur Neuinstallation von Windows. Dir steht es frei auch andere (freie) Betriebssysteme statt Windows zu installieren.
Hilfe zur Neuinstallation gibt es hier aber, lies aber erstmal die Anleitung.

Und in Zukunft Finger weg von Hacks, Cracks und Keygens!

Merci, schönen Abend...