MS Removal Tool / Virus - meine Dateien sind "versteckt" !
 

Ich hab folgendes Problem..

auf dem Forum habe ich schon dasselbe Problem wiedergefunden:
MS Removal Tool !!! Ein Profil mit "Crash 92" hatte dasselbe...

http://www.trojaner-board.de/97082-h...oval-tool.html

Ich habe alle Schritte, die Sie empfohlen haben, durchgeführt...
Insofern habe ich keine "Fake" meldungen mehr von MS Remove Tool unten auf der rechten Seite!!! und mein Antivir-Program ist wieder aktiv.

Auf meinem Desktop habe ich bereits die 2 Dateien (OTL und EXTRAS) und habe bemerkt, dass all meine Dateien (z.B. in Eigene Dateien - Ordner oder meine Desktop-Dateien) sich nur dann sehen lassen, wenn ich OTL.exe offen habe, jedoch sind dann diese Dateien auch nur markiert!
Bei Start - Alle Programme sind gar keine Programme ersichtlich!!!
Mein Desktop-Hintergrund ist zwar nicht mehr blau, so wies bei MS Remover Tool vorher war, doch ist es im moment einfarbig (grau), worauf sich nur der Papierkorb und die Programme (Malwarebytes/OTL + die 2 Dateien) ersichtlich sind.

Würde mich auf Ihre Hilfe seeehr freuen!!!

Hallo crash87,

bitte beachten: => http://www.trojaner-board.de/95393-c...-software.html

in Foren ist es allgemein üblich, sich zu duzen. Ich hoffe, das ist ok :-)

Poste mir bitte die beiden Logfiles von OTL hier in den Thread und auch die Logdatei von Malwarebytes' Anti-Malware.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.04.2011 11:57:10
mbam-log-2011-04-14 (11-57-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 186122
Laufzeit: 5 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Banker) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\appconf32.exe (Trojan.Banker) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.

HIER HAB ICH ALS ART DES SUCHLAUFS "VOLLSTÄNDIGEN SUCHLAUF" GEMACHT; DER OBERE WAR DER QUICK-SCAN!

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.04.2011 12:49:46
mbam-log-2011-04-14 (12-49-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 247670
Laufzeit: 43 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{ae7ad2ed-de6d-42f8-9df7-01b28bf2eed6}\RP274\A0051521.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ae7ad2ed-de6d-42f8-9df7-01b28bf2eed6}\RP274\A0051517.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ae7ad2ed-de6d-42f8-9df7-01b28bf2eed6}\RP274\A0051518.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ae7ad2ed-de6d-42f8-9df7-01b28bf2eed6}\RP274\A0051519.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ae7ad2ed-de6d-42f8-9df7-01b28bf2eed6}\RP274\A0051520.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.

Bitte arbeite die folgenden Punkte in der vorgegebenen Reihenfolge ab. Wenn etwas nicht klappt, stoppe und frage.
Bitte alle Logfiles immer in Code-Tags setzen.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.


===== Punkt 1 =====

Öffne bitte Deinem Editor die folgende Datei und poste mir den Inhalt hier in den Thread:

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts


===== Punkt 2 =====

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :dir
C:\WINDOWS\System32\5015
C:\WINDOWS\System32\xmldm
C:\WINDOWS\System32\kock
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bKf28258pHdGf28258
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\71Bf24L21

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 4 =====

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, markiere alles von File name: bis einschließlich SHA256: und kopiere das Ergebnis hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!


===== Punkt 5 =====

Falls Du auch Logdateien von Trojan Remover und Trojan Killer hast, bitte auch noch hier posten.


===== Punkt 6 =====

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.


===== Punkt 7 =====

Proxy eingestellt/fasch eingestellt?

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen.

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

Petra...
danke für deine umfangreiche Antwort !! Super lieb von dir ;))
also ich hab das Problem grad gelöst und alles läuft wieder einwandfrei!!!
Danke nochmals für alles.. !! LG

Ich würde schon ganz gerne die Logfiles sehen, denn auch wenn augenscheinlich alles wieder klappt, heißt das nicht zwingend, dass der Schädling schon komplett weg ist ;-)

Ein Freund von mir hat das geklärt... sodass im Moment alles Optimal ist!
Freut mich, dass du sooo hilfsbereit warst!! :)))

Na dann :-)