S.M.A.R.T. hdd Trojaner - Probleme bei der Beseitigung
 

Hallo zusammen,
mich hat nun zum zweiten Mal ein Trojaner erwischt :headbang: Letztes Mal war es ein BKA-Trojaner, den ich [als Pc-Laie] mit Malwarebytes in den Griff bekommen habe.
Nun hat mich dieser S.M.A.R.T.-Trojaner erwischt [Da soll nochmal ein Lehrer sagen, man solle sein Hausaufgaben googeln :nono:].
Die Beschreibung, wie man ihn entfernt habe ich [nach stundenlangem Suchen und Rätselraten] gefunden:
http://www.trojaner-board.de/113467-...entfernen.html
Nur leider habe ich dabei anscheinend einen Fehler gemacht, aber ich fange von vorne an:
Wie beschrieben, habe ich meinen PC im abgesicherten Modus gestartet und habe die Forumseite aufgerufen um rkill runterzuladen.
Ich habe zuerst auf den Link rkill.com geklickt, dann ging ein Fenster auf, da habe ich auf "Ausführen" geklickt.
Da ging aber nur für Bruchteile einer Sekunde ein schwarzes Fenster auf. Es verschwand wieder. Wie beschrieben wollte ich das dann löschen, aber ich fand es nicht mehr. Ich hab mir gedacht, dass ich nicht hätte auf "Ausführen" klicken sollen, sondern auf Speichern, damit ich es wie beschrieben auf dem Desktor hätte speichern können. Aber passiert ist passiert, deshalb habe ich den Link eXplorer.exe angeklickt und dann auf "speichern". Das Symbol habe ich jetzt auf dem Desktop. Wenn ich es anklicke kommt auch das schwarze Fenster, aber vorher gehen noch 3 Fenster auf, wo ich nacheinander auf "OK" klicken muss. Da steht drin: "Installation fehlgeschlagen". Erst dann kommt das schwarze Fenster von rkill. Während das läuft kommt noch ein Fenster, wo ein recht langer Text drinsteht. Anfangen tut es so: "Windows wird im abgesicherten Modus ausgeführt. Dieser Modus ermöglicht... "usw. Unten kann ich dann zwischen "JA" und "Nein" auswählen. [Ja, damit ich im abgesicherten Modus bleibe, Nein, damit ich den "vorherigen Computerstatus durch die Systemwiederherstellung wiederherstellen" kann.].
Rkill läuft im Hintergrund und zeigt dann beim Logfile an, dass: "terminated by Rkill or while it was running: C:\Dokumente und Einstellungen\Administrator\Desktop\eXplorer.exe"
Das heißt er beendet sich selbst?? :killpc:
Ich bin echter Pc-Laie, nur durch die letzte Trojaner Entfernung habe ich minimales Halbwissen. [Allerdings ging die letzte Entfernung komplett anders :confused:]
Vielen Dank im Voraus für Eure Hilfe!
Edit: Das Logfile braucht ihr in dem Fall ja nicht ganz oder? Weil ich bin an einen anderen PC gegangen und kann es deswegen schlecht kopieren ;) Aber da steht nur, dass wann es beendet wurde und dass man es halt nur auf Anfrage von ner helfenden Person posten soll...
PPS: Braucht man den Schritt mit dem rkill? Weil bei dem letzten Trojaner sollte man auch irgendwas im abgesicherten Modus machen [das ging aber anders] und es hat bei mir auch nciht geklappt. Ich hab den Trojaner damals nur mit Malewarebytes wegbekommen..Geht das dabei auch? [Wäre ja zu schön...]

Versuch das Problem bitte knapp und präzise zu beschreiben, das war mir schon fast zuviel Text mit eher irrelevanten Infos

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Okay, sorry /: Hier das Problem in Stichpunkten:
- habe nach dieser Beschreibung http://www.trojaner-board.de/113467-...entfernen.html angefangen den Smart-hdd-Trojaner zu löschen
[Abgesicherter Modus mit Internet funktioniert]
-rkill wollte ich herunterladen [habe auf den ersten Link geklickt] habe dann auf "Ausführen" geklickt.
- schwarzes Fenster öffnete sich für wenige Sekunden, verschwand wieder
- ich wollte rkill wieder löschen, um es unter einem anderen Namen runterzuladen. Ich finde rkill aber nicht mehr, da es nicht auf dem Desktop ist und es auch nicht suchen kann
- habe trotzdem versucht, rkill nochmal runterzuladen unterm Namen "eXplorer.exe", habe aber auf "speichern" geklickt, nicht auf Ausführen, um es auf Desktop speichern zu können
- klicke ich auf das Symbol, gehen 3 Fenster nacheinander auf, die "Installation fehlgeschlagen" melden. Nachdem ich 3 mal auf "ok" klicke, startet rkill.
- Während rkill läuft, kommt aber eine Meldung die so anfängt: Windows wird im abgesicherten Modus ausgeführt. Dieser Modus ermöglicht... "usw. Unten wähle ich immer "Ja" aus, damit ich im abgesicherten Modus bleibe
- rkill läuft im Hintergrund und zeigt dann folgendes an: "terminated by Rkill or while it was running: C:\Dokumente und Einstellungen\Administrator\Desktop\eXplorer.exe"

Das heißt doch, rkill hat sich selbst beendet?
Was kann ich tun, damit ich mein Pc wieder hinbekomme? :heulen:
[Sorry, das es wieder recht lang ist, aber das Problem kann ich nicht kürzer beschreiben :( ]

na wenn der Modus geht wirst du erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Auf jeden Fall danke für deine Hilfe, aber ich kann Malwarebytes nicht downloaden :(
Nachdem ich auf "Installieren" geklickt habe, kommt ein Balken, wo er läd und dann kommt ein Fenster: "Zugriff verweigert". Nachdem ich "ok" geklickt habe, kommt ein neues Fenster: "Das Setup konnte nicht abgeschlossen werden. Beheben Sie bitte das Problem, und starten Sie das Setup erneut."
Ich habe ja Malewarebytes schonmal bei dem anderen Trojaner installiert. Das hat aber nichts damit zu tun, dass er das jetzt nicht downloadet, oder?

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Okay, gemacht:
[Alle Namen durch '****' ersetzt]
OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ich habe meinen PC normal hochgefahren, um das Antivirenprogramm [Avira Free Antivirus] auszustellen. Zunächst habe ich aber mal das System von ihm prüfen lassen und er hat u.a. folgendes berichtet [Ich kanns nicht kopieren, da ich mit dem infizierten Laptop im normalen Modus nicht ins Internet komme, deswegen tippe ich mal den wichtigsten Teil ab]:
Ich hoffe das nützt was. Man muss aber dazu sagen, dass ich direkt vorher schonmal das System habe prüfen lassen, da habe ich was in Quarantäne gesteckt und plötzlich waren die ganzen Meldungen die vom Virus her kamen weg und das Symbol von diesem S.M.A.R.T. in der Taskleiste war auch weg. Aber mein Startmenü ist immernoch leer und mein Desktophintergrund ist schwarz:headbang:
Ich habe jetzt hoffentlich das Antivirusprogramm deaktiviert und werde jetzt das tun, was du mir geschrieben hast.. [Danke nochmal (; ]

So, gesagt getan, hab das in OTL eingegeben. Musste den Pc aber 2 mal neustarten, weil ich es verpasst habe, in den abgesicherten Modus zu gehen /:
Da kam jetzt kein Logfile. Aber dafür sind einige Dateien wieder auf dem Desktop. Das Startmenü ist allerdings [bis auf Open Office] noch leer.
Komme ich jetzt nicht mehr an das Logfile??

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Als ich mich im normalen Modus angemeldet habe, kam das:
Ich weiß nicht ob das wichtig ist, aber ich dachte ich poste es mal, bevor es weg ist..
Ansonsten hoffe ich, dass ich mein Antivirenprogramm ausstellen kann.. :kloppen:

Ich verstehe Schritt 2 ["2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen"]
nicht bzw. kann es nicht: Wie zippt man einen Ordner in eine Datei??

hast du noch wie was von ZIPPEN gehört? :(
Sowas banales findet man auch wirklich leicht via Google => Windows XP: ZIP-Archiv-Datei direkt per Kontext-Menü erzeugen

Nö. Ich hab mich noch nie wirklich mit Pcs beschäftigt.
So schlau war ich dann ja auch^^ Das Problem ist, wenn ich auf 'Senden an' klicke, kommt nichts. Da steht nur '(Leer)'. /:
Muss ich mir dann extra noch ein Programm zum zippen runterladen?

Okay, danke (:
Mit dem Zippen hat es anscheinend geklappt und ich hab die Datei im Upload-Channel hochgeladen!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hat funktioniert (:

Diese beiden Einträge TDSS File System und Rootkit.Boot.SST.b bitte mit dem TDSS-Killer fixen. Aber bitte nur diese Einträge!
Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.

Ich hab jetzt den TDSS-Killer nochmal gestartet, am Ende im 'Threads detected' sind wieder die 4 Funde aufgelistet. In den Drop-Down-Listen gibt es allerdings kein 'Fixen'. Bei dem Rootkit.Boot.SSTb.b gibt es nur 'skip', 'copy to quarantine', 'cure' und 'restore'.
Bei dem 'TDSS File System' gibt es noch weniger Optionen: 'skip', 'copy to quarantine' und 'delete'.
Soll ich dann beim ersten 'cure' und beim zweiten 'delete' auswählen?

Rootkit.Boot.SSTb.b => CURE
TDSS File System => DELETE

Okay, danke (: Hier das Logfile, nach dem Entfernen & Neustarten [habe eben bemerkt, dass Avira wohl wieder an war. Ich dachte es bleibt aus, wenn ich es nicht wieder manuell einschalte, aber anscheinend nicht.. Hat aber keinen Fehlalarm ausgelöst. Dann ist es auch nicht schlimm, dass es beim erstellen vom Log an war, oder?]

Hast du gut gemacht http://cheesebuerger.de/images/smilie/liebe/g018.gif

:D

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Wuhuuuu, mein Desktop ist wieder voll (: Sieht ja vielversprechend aus (:
Schonmal vieeeelen Dank (:
Hier das Log:
[code]
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hat funktioniert, war ja gar nicht so kompliziert wie es auf den ersten Blick schien :'D
Hier die Log-Datei 'Combofix.txt':
[code]
Combofix Logfile:
--- --- ---

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hat alles funktioniert (:
Zuerst das GMER-Log:
Das OSAM-Log:
Und aswMBR.txt:

Log von OSAM ist unvollständig

Oje, stimmt, da hab ich wohl beim kopieren Mist gebaut .__.
Hier nochmal der Log von OSAM:
[code]
OSAM Logfile:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Ok (: Ich hab aber noch 2 kurze Fragen:
- Schließe ich jetzt einen USB-Stick an den Laptop an und zieh die Daten rüber, hole ich mir den Virus dann nicht auch auf den Stick? Oder ist der Virus so weit beseitigt, dass man das ausschließen kann? Sonst steck ich mir ja meinen anderen PC auch noch an x(
- Wie finde ich das raus, ob ich eventuell eine Verschlüsselung oder ein Doppelsystem habe? [Ich als kompletter Pc-Laie :D] Ich wüsste nicht das da was ist, aber vllt. hab ich das ja mal iwie recht unwissend über ein Update oder so gemacht?
Danke (:

Du hast keinen Fileinfector und keinen USB-Stick-Infizierer, als mach bitte das Backup!
Und was du mit Doppelsystem meinst versteh ich nicht

Oh sorry, mit dem Doppelsystem meinte ich noch ein anderes Betriebssystem installiert..
Okay, bin gerade dabei das Backup zu machen, schon kommt ein 'neues' Problem:
Bei meinem 2. Administratornamen, auf dem ich viele Dateien gespeichert habe, ist der Desktop noch komplett leer. Ich habe mich seit der Infektion nur noch mit dem anderen Administratornamen angemeldet. Das Startmenü des 2. Names ist auch fast leer, nur 3 Programme sind aufgelistet [Gimp, QuickTime Playeer, SuperAntiSpyware].
Über die Avira in der Taskliste habe ich den Internet Explorer aufbekommen und bin so ins Laufwerk C: gekommen. Die Dateien von Gast und dem 1. Benutzernamen kann ich anklicken. Der Ordner des 2.Benutzernamen ist "durchsichtig" und leer [obwohl er nicht leer sein dürfte].
Das Gastkonto hingegen hat einen vollen Desktop, wie mein 1. Administratorname..
Habe ich das 2.Benutzerkonto nicht mit bereinigt oder ist da einfach alles gelöscht?

Ach das...
ein zweites OS installiert ist die Ausnahme, wenn du noch eins hättest würdest du kurz nach dem Einschalten des Rechners sehen können, dass du zB Windows und Linux starten kannst, du hättest dann die Wahl

Okay, das ist das, was mich schon verwirrte.. Seit dieser Virusgeschichte blendet sich nach dem Einschalten nämlich so eine Auswahl für ein paar Sekunden ein:
'Wählen sie das zu startende Betriebssystem:
Microsoft Windows Recovery Console
do not select this (Debugger aktiviert)
Mircosoft Windows XP Home Edition'
Dann kommt noch, wie man was auswählt und ein Countdown, bis die markierte Auswahl [in dem Fall Microsoft Windows XP Home Edition] ausgeführt wird.
Kann ich den MBR-Fix trotzdem machen?

Ja das kommt nur von combofix
Mach den MBR Fix

Okay, danke (:
Also hier das Logfile aus dem Scan nach dem MBRFix und dem Neustart:

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Juhu (: Das Ende naht (:
Eine Frage noch: Mein zweiter Administratorname hat ja immernoch einen leeren Desktop und auch unter 'Alle Programme' sind zwar ein paar Programme aufgelistet, aber dann steht da nur 'Leer'. Ich kann also kaum ein Programm öffnen. Ist das normal? Bzw. sind die Dateien vom Virus gelöscht?
SUPERAntiSpyware ist gerade fertig geworden [Malwarebytes kommt, sobald es fertig ist]. Hier das Log:
Okay, das Ende war es anscheinend doch noch nicht -__-
Malwarebytes hat noch Funde. Genau wie Avira, das hat während des Scans mit Malwarebytes auch plötzlich Funde angezeigt..
Hier das Log von Malwarebytes:

Nur Überreste und ne Menge Cookies. Kann alles weg.

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Okay danke für die Tipps, ich werde mich mit den Cookies beschäftigen (:
Ich hab die Dateien mit Malwarebytes gelöscht & danach nochmal nen Quickscan gemacht, da wurde nichts mehr gefunden.

Dann hätte ich nur noch 2 Probleme, ich weiß allerdings nicht, ob sie lösbar sind..
Erstens sind viele Programme im Startmenü 'Leer'. Wähle ich im Startmenü unter 'Alle Programme' z.B. 'Spiele' aus, kommt rechts daneben nur '(Leer)'. Normal stehen da ja die Spiele zur Auswahl.
Wurde der Inhalt der Programme also vom Virus gelöscht oder kann ich die irgendwie wiederherstellen?

Apropos Startmenü: Unter den Programmen befindet sich auch noch 'Data Recovery'. Müsste ja noch vom Virus sein, da es vorher nicht vorhanden war. Kann ich das einfach mit Rechtsklick & Löschen entfernen?

Ansonsten, zweitens, ist ja bei meinem 2. Administratorname immernoch der Desktop komplett leer. Mittlerweile habe ich im Ordner 'Eigene Dateien' alles wieder gefunden, im Ordner war komischerweise eingestellt, dass alles versteckt ist. Durch entfernen des Hakens ist alles wieder da (:
Aber ich kann einfach nichts auf den Desktop machen. Ich kann nichts dahin ziehen, ich kann nichts einfügen, kein Befehl funktioniert, obwohl im Ordner C:\Dokumente und Einstellungen\****\Desktop einiges angezeigt wird, ist auf dem Desktop nichts.
Wie kann ich wieder die Symbole auf dem Desktop sehen?

Und nochmal ein dickes :dankeschoen:!!

Das Startmenü wurde von der Ransomware gelöscht, wenn überhaupt kannst du mit unhide noch was wiederherstellen. Wenn nicht bist du ohne Backup angeschmiert

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Teilweiße hats geklappt (:
Also mein Startmenü ist immernoch leer [auf allen Benutzerkonten], aber die Programme sind ja meistens durch Verknüpfungen noch da.
Unhide hat super geholfen, es hat noch was gefunden & beseitigt:
Mein Desktop ist jetzt wieder voll (:
Vielen, vielen Dank!!

Eins noch am Rande:
Kann ich jetzt davon ausgehen, dass mein PC wieder virenfrei ist? [Ich weiß, 100%-ige Sicherheit gibts nur durch neues Aufsetzen, aber ansonsten?]
Und kann ich die ganzen Programme, die ich für die Beseitigung gebraucht habe, einfach wieder löschen?

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => http://www.adobe.com/software/flash/about/
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ich hab mich jetzt die letzten Tage [dank deiner Tipps (;] mal dran gesetzt mein System zu aktualisieren & zu verbessern.. Dabei bin ich nochmal auf ein Problem gestoßen:
Im 'temp'-Ordner, den ich mal komplett löschen wollte, ist ein Programm namens 'RtkBtMnt.exe' gefunden. Dies lies sich nicht löschen.
Mir kam etwas spanisch vor, dass ein Programm sich im 'temp'-Ordner befindet, wo doch da eig. nur Bilder und so sind und es lässt sich noch nicht mal löschen?! Und laut Google kann es auch sein, dass das noch ein Virus ist, anscheinend getarnt unter dem Mantel von Realtek.
Bei Systemsteuerung => Software stehen auch 2 Realtek Driver. Einer heißt 'REALTEK GbE & FE Ethernet PCI-E NIC Driver', der andere heißt 'Realtek High Definition Audio Driver'.
Kann das noch mit der letzten Infektion zusammenhängen? & Wie finde raus, ob es ein Virus ist bzw. wie kann ich es beseitigen?
Danke nochmals.. (;

Im Prinzip kannst du zu jedem Dateinamen einen Schädling finden! Aber man kann es auch übertreiben und Gespenster sehen, die es garnicht gibt :pfeiff:

=> RtkBtMnt.exe Windows Prozess - Was ist das?