hi

lade bitte bei Virustotal hoch:
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)

So, hab es jetzt rüberlaufen lassen, hier ist das, was dabei rauskam:

hi:)

Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet!
Beispiel - das zu postende logfile von virustotal soll so wie hier aussehen :
- also bitte die Dateiüberprüfung wiederholen!
- genaue Pfad mir bitte auch angeben "C:\...

So, das müsste es sein.

Der Pfad lautet:

C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe

da die Datei noch "Relativ unbekannt" ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse:

Datei Upload

• Klicke bitte auf diesen Link UploadMalware.com

• Gib im obersten Feld deinen Namen ein
• Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/77299-b...rojaner-2.html)
• Lade dann diese Datei von deinem Rechner hoch:

C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe

• Gib im Kommentarfeld Folgendes an:
• "Unknown file"
• deine eMail Adresse, damit du benachrichtigt werden kannst, um was es sich bei dieser Datei handelt.
• diese Information:

Code:

---

Datei schl.exe empfangen 2009.09.15 22:36:38 (UTC)
Ergebnis: 1/41 (2.44%)
       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.09.16        -
AhnLab-V3        5.0.0.2        2009.09.15        -
AntiVir        7.9.1.18        2009.09.15        -
Antiy-AVL        2.0.3.7        2009.09.15        -
Authentium        5.1.2.4        2009.09.15        -
Avast        4.8.1351.0        2009.09.15        -
AVG        8.5.0.412        2009.09.16        -
BitDefender        7.2        2009.09.15        -
CAT-QuickHeal        10.00        2009.09.15        -
ClamAV        0.94.1        2009.09.15        -
Comodo        2330        2009.09.16        -
DrWeb        5.0.0.12182        2009.09.16        -
eSafe        7.0.17.0        2009.09.15        -
eTrust-Vet        31.6.6739        2009.09.16        -
F-Prot        4.5.1.85        2009.09.15        -
F-Secure        8.0.14470.0        2009.09.15        -
Fortinet        3.120.0.0        2009.09.15        -
GData        19        2009.09.15        -
Ikarus        T3.1.1.72.0        2009.09.15        -
Jiangmin        11.0.800        2009.09.15        -
K7AntiVirus        7.10.845        2009.09.15        -
Kaspersky        7.0.0.125        2009.09.15        -
McAfee        5742        2009.09.15        -
McAfee+Artemis        5742        2009.09.15        -
McAfee-GW-Edition        6.8.5        2009.09.15        -
Microsoft        1.5005        2009.09.16        -
NOD32        4427        2009.09.15        a variant of Win32/Injector.ZJ
Norman        6.01.09        2009.09.15        -
nProtect        2009.1.8.0        2009.09.15        -
Panda        10.0.2.2        2009.09.15        -
PCTools        4.4.2.0        2009.09.14        -
Prevx        3.0        2009.09.16        -
Rising        21.47.14.00        2009.09.15        -
Sophos        4.45.0        2009.09.15        -
Sunbelt        3.2.1858.2        2009.09.15        -
Symantec        1.4.4.12        2009.09.16        -
TheHacker        6.3.4.4.404        2009.09.15        -
TrendMicro        8.950.0.1094        2009.09.15        -
VBA32        3.12.10.10        2009.09.15        -
ViRobot        2009.9.15.1937        2009.09.15        -
VirusBuster        4.6.5.0        2009.09.15        -
weitere Informationen
File size: 157696 bytes
MD5...: cc49055b671da3ef11f185525b91fcc6
SHA1..: 8a0aa9474c5b3ac9a967f3d4a83518f621d3c49d
SHA256: b472a2f85bb7129de229f8c823414975ed262245fc02668d2a981f37756258b4
ssdeep: 3072:wFb4+Q8wJno2cnSo2IZMe277rDsC5z5n5mnMXl1aNaJOsJ:ubVlw9qSWBU7
rDsC35dV8Na0s
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49bc
timedatestamp.....: 0x4aa1c799 (Sat Sep 05 02:06:17 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bae 0x3c00 5.71 f75f397cb63fb66ea33ea07a3be8945d
.rdata 0x5000 0x8fe 0xa00 4.86 8890580a53577715c21bf12a27331a78
.data 0x6000 0x874 0x800 5.96 130118eb69a79fd162c1922f4bda36b8
.rsrc 0x7000 0x21408 0x21600 7.79 8471db664461d440e6187adcf0e3a3fe

( 6 imports )
> KERNEL32.dll: GetCurrentThread, GetTickCount, GetStartupInfoA, GetModuleHandleA, CreateThread, Sleep
> USER32.dll: SetWindowPos, PostQuitMessage, DestroyWindow, DefWindowProcA, DispatchMessageA, TranslateMessage, GetMessageA, UpdateWindow, ShowWindow, CreateWindowExA, RegisterClassExA, SetWindowPlacement, LoadIconA, MessageBoxA, MsgWaitForMultipleObjects, LoadCursorA
> ole32.dll: CoInitialize
> GDI32.dll: GetStockObject
> MSVCP60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z
> MSVCRT.dll: malloc, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _except_handler3, _EH_prolog, strcpy, memcpy, strlen, __2@YAPAXI@Z, getenv, sprintf, _stricmp, memset, memmove, strcmp, __CxxFrameHandler

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)

---

• Drücke nun auf den Button "Send File"
• **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
  .

Hochladen ist gelungen.

Und wie sieht jetzt der nächste Schritt aus?

hi

Bevor wir witer machen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt!
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!: Vor dem Speichern auf Desktop, benenne ComboFix.exe um in "cftest.exe" - installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

So, der hat mir das ganze eklige Zeug weggelöscht, was mir bekannt war. Wenn ich mich nicht irre, dann muss ich dir tausend Dank aussprechen. :)

Hier noch zur Log-File:

hi

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

- Ordnerinhalt überall markieren und löschen

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

*** Wie läuft der Rechner denn nun?

So, ich hab bis jetzt alles befolgt, außer das bei 4. stehen geblieben bin.
Da steht jetzt schon seit ca. 3 1/2 Stunden:

"Please wait while the installer determines your disk space requirements..."

Ist das normal?

Angeschlossen ist eine Festplatte mit 200 GB und eine externe mit 500.

Von 13 bis 19 Uhr stand da ständig

So brach ich ab, ist das normal?

So, bin alles durchgeganegn, aber gefunden habe ich nichts:

Combofix fand noch etwas:

hi

1.
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Externe Platte, Usb etc bitte witerhin anschließen

3.
Lass bitte mal den Kaspersky über das System laufen (vorher updaten)--> Funde in Quarantäne verschieben, poste die Report-Datei

So, es wurde nichts gefunden.
Hab alles so gemacht, wie es gesagt wurde und scheint alles ok zu sein, laut Scanner.