Trojaner-Board - Virus: Windows detected a hard disk problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus: Windows detected a hard disk problem - WinXP (https://www.trojaner-board.de/111941-virus-windows-detected-a-hard-disk-problem-winxp.html)

Virus: Windows detected a hard disk problem - WinXP

Hallo liebe Forengemeinde,

ich habe ein großes Problem. Mein Laptop hat sich einen Virus eingefangen, den ich einfach nicht mehr los werde. Beim Surfen hat sich auf einmal einfach der Browser geschlossen, dann wurde mein Desktop schwarz und die Fehlermeldung "Windows detected a hard disk problem" ging auf. Weiterer Text der Meldung: "A potential disk failure may cause loss of files, applications and documents stored on the hard disk. It's highly recommended to scan and solve HDD problem before continuing using this PC." mit den Optionen, "Scan and fix" sowie "Cancel and reboot", von denen ich natürlich keine angenommen habe. Im Anschluss öffnen sich mehrere Fehlermeldungen namen "Windows - Delayed Write Failed" mit der Beschreibung "Failed to save all the components for the file \\System32\\000[sich abwechselnder Code]". Außerdem versteckt der Virus all meine Dateien, die ich erst durch Unhide wieder sichtbar machen kann.

Malwarebytes Anti-Malware habe ich schon rüberlaufen lassen und 8 infizierte Dateien gefunden und gelöscht, doch das Problem blieb leider bestehen. Ich bin mit meinem Latein am Ende und hoffe, ihr könnt mir helfen. Ach ja, ich benutze Windows XP.

Vielen Dank für die Hilfe im Voraus

Edit: Ganz vergessen zu erwähnen, die in einem anderen Thread erwähnten Programme
rKill.com
rKill.scr
Dies sind umbenannte Kopien
eXplorer.exe
uSeRiNiT.exe
WiNlOgOn.exe
auf dem Desktop zu speichern, habe ich schon versucht. Sie poppten kurz auf und wurden sofort wieder geschlossen.

Weitere eventuell hilfreiche Informationen:

Der Task Manager wird blockiert. Wenn ich ihn öffnen möchte, behauptet der Computer, der Administrator habe die Rechte dafür gesperrt.

Wenn ich im Abgesicherten Modus starten möchte, gibt es sobald ich hochgefahren habe, gleich wieder einen Neustart.

Zitat:

Malwarebytes Anti-Malware habe ich schon rüberlaufen lassen und 8 infizierte Dateien gefunden und gelöscht,

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Okay, Danke für den Hinweis. Hier die Logs der bisherigen Scans:

Erster Quick-Scan:

Code:

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 176445

Laufzeit: 6 Minute(n), 26 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 9

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Programme\installer_sonicstage_4_3_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Keine Aktion durchgeführt.
 

(Ende)

Ausführlicher Scan gleich im Anschluss:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.01.13.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

HP :: NC6400PRO [Administrator]
 

Schutz: Aktiviert
 

20.03.2012 01:42:57

mbam-log-2012-03-20 (01-42-57).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 284716

Laufzeit: 1 Stunde(n), 44 Minute(n), 2 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Programme\installer_sonicstage_4_3_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Erneuter Quick-Scan gerade eben:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.20.07
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

HP :: NC6400PRO [Administrator]
 

Schutz: Deaktiviert
 

21.03.2012 04:06:57

mbam-log-2012-03-21 (04-06-57).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 193758

Laufzeit: 10 Minute(n), 37 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 7

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\Dokumente und Einstellungen\HP\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\HP\Desktop\uSeRiNiT.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\HP\Desktop\WiNlOgOn.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Ich weiß nicht, ob sie was helfen, aber hier noch die Protection-Logs:

Code:

3/20 01:34:18 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 01:34:24 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 01:34:27 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 01:34:30 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 03:29:52 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 03:30:07 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 03:30:10 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 03:30:15 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 03:30:20 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:31:05 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:31:53 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:33:29 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:33:32 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:33:38 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:33:50 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:34:04 +0100        NC6400PRO        HP        IP-BLOCK        206.161.121.4 (Type: outgoing)

2012/03/20 03:34:07 +0100        NC6400PRO        HP        IP-BLOCK        206.161.121.4 (Type: outgoing)

2012/03/20 03:34:14 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 03:35:02 +0100        NC6400PRO        HP        IP-BLOCK        217.23.9.196 (Type: outgoing)

2012/03/20 04:33:52 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 04:34:14 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 04:34:17 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 04:34:20 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 04:50:32 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 04:51:57 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 04:52:09 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 04:52:13 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 04:52:15 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 05:00:03 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 05:00:15 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 05:00:19 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 05:00:22 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 13:47:58 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 13:48:13 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 13:48:16 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 13:48:34 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 14:12:39 +0100        NC6400PRO        HP        MESSAGE        Starting protection

2012/03/20 14:12:48 +0100        NC6400PRO        HP        MESSAGE        Protection started successfully

2012/03/20 14:12:51 +0100        NC6400PRO        HP        MESSAGE        Starting IP protection

2012/03/20 14:13:00 +0100        NC6400PRO        HP        MESSAGE        IP Protection started successfully

2012/03/20 14:18:50 +0100        NC6400PRO        HP        MESSAGE        Stopping IP protection

2012/03/20 14:18:50 +0100        NC6400PRO        HP        MESSAGE        IP Protection stopped

2012/03/20 21:12:42 +0100        NC6400PRO        HP        MESSAGE        Executing scheduled update:  Daily

2012/03/20 21:13:14 +0100        NC6400PRO        HP        MESSAGE        Starting database refresh

2012/03/20 21:13:14 +0100        NC6400PRO        HP        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.01.13.04 to version v2012.03.20.07

2012/03/20 21:13:19 +0100        NC6400PRO        HP        MESSAGE        Database refreshed successfully

Code:

3/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:46 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:54 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:55 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:55 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

2012/03/21 04:01:55 +0100        NC6400PRO        HP        DETECTION        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3Wbff8ME4YMgbh.exe        Trojan.FakeAlert        ALLOW

Ich hoffe, es hilft.

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

done:

Code:

time=2012-03-21 07:59:30

# local_time=2012-03-21 08:59:30 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=770 16774105 100 95 4693333 268634213 0 0

# compatibility_mode=1024 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 3896 3896 0 0

# scanned=101857

# found=15

# cleaned=0

# scan_time=6911

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QkMNyhGuJTxqPg.exe        Win32/TrojanDownloader.Prodatect.BL trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\51063600-3a1a1774        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13\45275d0d-7f66a6f3        Java/TrojanDownloader.Agent.NAZ trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\b21ba53-18988d73        Java/Exploit.Agent.NAO trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\6e0d8316-35de8012        a variant of Java/Agent.DU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\4d80ac84-6bb4b793        a variant of Java/Agent.DU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\19c7032d-3250779f        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\5e8f85ba-3324a234        Java/Exploit.CVE-2011-3544.AU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\34da533b-3625dd7b        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\20d7517e-63e0e052        a variant of OSX/Exploit.Smid.D trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\HP\Lokale Einstellungen\Temp\plugtmp-12\plugin-Notes1.pdf        JS/Exploit.Pdfka.OEG trojan (unable to clean)        00000000000000000000000000000000        I

C:\Programme\PDFCreator-1_2_3_setup.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\SoftonicDownloader60361.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

${Memory}        Win32/TrojanDownloader.Prodatect.BL trojan        00000000000000000000000000000000        I

Zitat:

C:\Programme\SoftonicDownloader60361.exe

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread