Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
 

Hallo liebe Community. Jetzt hat es auch mich erwischt. Ich habe mir laut Avira einen Trojaner eingefangen. Wie das passieren konnte ist mir unklar, hilft aber alles nichts.

Gemeldet wird der Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe".
Ich habe ihn mit Avira schon in die Quarantäne verschoben und auch gelöscht. Danach ergab ein kompletter System Scan nichts. Nach dem nächsten Neustart meldete sich Avira aber direkt wieder, die exakt selbe Datei macht wieder Ärger. Daran hat sich bis jetzt auch noch nichts geändert. Bevor ich weitere Schritte mache, suche ich hier jetzt erstmal Rat.

Ich hoffe, man kann mir hier helfen.

MfG, Marc

FRST Log:
Addition Log:
Gmer Log:
Avira Exportierte Ereignisse:

Ja, völlig unerklärlich wie die Malware auf deinen PC kam :rofl:

:pfui:

Bitte lesen => http://www.trojaner-board.de/95393-c...-software.html

Es geht weiter wenn du alles Illegale entfernt hast.

Bei wiederholten Crack/Keygen Verstößen behalte ich es mir vor, den Support einzustellen, d.h. Hilfe nur noch bei der Datensicherung und Neuinstallation des Betriebssystems.

Das ist schon sehr sehr lange her mit dem Crack, wollte das Spiel mal ausprobieren. Daher hatte ich es vergessen / ausgeschlossen, weil die warnung ja erst kürzlich auftrat. Ist jetzt aber entfernt. Mein System ist jetzt Crack frei. Entschuldigung nochmal wegen dem Regelverstoß, ich hatte den einfach vergessen.

Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix Log:
[CODE]
Combofix Logfile:
--- --- ---
EDIT:
Ich habe gerade total die Panik, weil jetzt Der Datenträger E: (meine 2tb HDD für Daten) nicht mehr korrekt erkannt wird.
Wenn ich ihn über "Computer" betrachte, hat er keine Anzeige mehr, wie voll er ist. Wenn ich auf ihn zugreifen will, erscheint ein pop up, indem windows mich auffordert den datenträger
zu konvertieren damit ich ihn nutzen kann. Was ist da passiert?

Sry das neue Problem ist leider dringend, daher buff:

"Ich habe gerade total die Panik, weil jetzt Der Datenträger E: (meine 2tb HDD für Daten) nicht mehr korrekt erkannt wird.
Wenn ich ihn über "Computer" betrachte, hat er keine Anzeige mehr, wie voll er ist. Wenn ich auf ihn zugreifen will, erscheint ein pop up, indem windows mich auffordert den datenträger
zu konvertieren damit ich ihn nutzen kann. Was ist da passiert?"

Rechtsklick => Eigenschaften auf das betroffene Volume. Welches Dateisystem wird angezeigt?

Typ: Lokaler Dateinträger
Dateisystem: --- (steht nichts)

Belegter Speicher: 0Bytes 0Bytes
Freier Speicher: 0Byes 0Bytes
http://www.image-hoster.de/files/f41...737bd5866f.png

Ist das ne externe Platte? Wenn ja, mal disconnecten und neu anschließen. Notfalls Platte ausbauen und intern am PC anschließen.

ist ne normale interne sata platte über sata 6gb angeschlossen. habe sie schon mehrmals abgesteckt, ohne sie hochgefahren und wieder runter, dann wieder angesteckt und wieder hoch, hat alles nichts gebracht

Dann musst du mal dein Glück mit Testdisk probieren => Schritt für Schritt Wiederherstellungsbeispiel - CGSecurity

muss ich da was beachten bzw gibt es da weitere risiken?

Einfach mal den Artikel komplett durchlesen, dann kannst du immer noch gezielt nachfragen

Das programm fragt mich nach dem partitionstyp, standart war EFI GPT eingestellt.
War ne normale nicht system windows platte. ist der typ korrekt?

Okay, jetzt bin ich endgültig überfragt.
Ich habe die Option "analyse" gewählt.
erscheinen tut nun die gesuchte Platte, mit korrektem namen (Daten)
http://s7.directupload.net/images/140422/sx659eb9.png

Ich wähle also "quick Search". Er findet 3 Partitionen. Es erscheint ein Error, dass irgendwelche summen keinen sinn ergeben oder sowas:
http://s1.directupload.net/images/140422/r5yc43lp.png

Dann kommt das Menü mit den grünen Auswahlen.
Eine ca 200mb große EFI system partition (kp was das ist, hab ich nie erstellt)
Dann eine 1999GB große Partiton (Mac HFS), und eine ca 600mb große partition (wieder Mac HFS, habe ich wieder nie erstellt)
http://s1.directupload.net/images/140422/3gtjfyxf.png

Mit "p" lässt man sich ja Datein anzeigen. bei der 200mb System Partition findet er keine Dateien.
Bei den anderen beiden Partitionen steht das der Support für diesen Datentyp während der Kompilierung nicht aktiviert wurde.

Was nun tuen?

EFI/GPT kann ich mir hier nicht vorstellen. Selbst wenn es ne Platte wäre, auf der eine Systempartition von Windows drauf war/ist, das richtet erst Windows 8 mit EFI/GPT ein. Und die Platte liegt mit ihrer Kapazität deutlich noch im 32 Bit Adressfeld des MBR-Partitionsschemas. Aber was wirklich nun stimmt und wie die Platte nun wirklich genau eingerichtet war kannst nur du wissen, nicht ich.

Bevor du dir mit Testdisk die Platte endgültig zerhaust würde ich zumindest nochmal mit nem Live-Linux drüberschauen ob noch was erkannt wird. Nimm am besten mal ein Lubuntu im Ausprobiermodus, denn könnte man ohne größe Nachinstalliererei auch mal den SMART-Status checken.

die konfiguration war einfach ne normale 300Gig Partition für Xp (war aber nie drauf, die partition war immer komplett lehr, nie was drauf gehabt). Die Partition war leer und hab die dann auch wieder gelöscht, die 300Gig waren also nicht zugeordneter Speicher, der Rest war die nornale primär partition.

Geht auch Ein Live System vom Stick?

EDIT: Ich habe den halben tag diese "search deeper" suche am laufen. Ist grad mal bei 10%. Kann ich die durch beenden des Programmes (X Klicken) abbrechen?

haha parted magic habe ich schon aufm stick lauffähig. was muss ich dann genau machen wenn ich dann auf dem desktop bin (von linux)

Schauen ob ein Dateisystem erkannt wird! Wenn nicht: viel Glück mit Testdisk!

schreibe gerade aus dem linux os heraus.
wenn ich die platte kommt ein fehler, properties sind


FSTAB
( not found )

INFO
Showing information for /dev/sda1
native-path: /sys/devices/pci0000:00/0000:00:1f.2/ata1/host0/target0:0:0/0:0:0:0/block/sda/sda1
device: 8:1
device-file: /dev/sda1
presentation: /dev/sda1
system internal: 1
removable: 0
has media: 1
is read only: 0
is mounted: 0
mount paths:
presentation hide: 0
presentation nopolicy: 0
presentation name:
presentation icon:
automount hint:
size: 1843110346752
block size: 512
usage:
type:
version:
uuid:
label:
partition:
scheme:
number: 1
type:
flags:
offset: 2668625920
alignment offset: 0
size: 569376768
label:
uuid:

und wie meinst du viel glueck?
ich hab null ahnung wie ich da was machen muss. es waere total cool wenn du mir da noch ein par tips geben koenntest.
und vielleicht auch wie ich die platte generell wieder hinbekomme, datenverlust ist dann auch egal

AAA moment, ich habe gerade den partition editor aufgerufen, der erkennt alle partitionen korrekt! die geloeschte leere XP partition, sone 1mb partition aber auch die korrekte Daten Partition, das DatenSystem yeigt er auch als ntfs an. ist da was yu retten?

Edit2: ^^
Smart sagt alles okay.
Hier Smart geprinted:

SMART ist auch ok. Zeigt er die Partitionen korrekt an, immer noch?

Wenn ich den Partitions Editor öffne kommt folgende Warnung (war auch schon vorher so):

/dev/sdc contains GPT signatures, indicating that it has a GPT table. However, it does not have a valid fake msdos partition table, as it should. Perhaps it was corrupted -- possibly by a program that doesn't understand GPT partition tables. Or perhaps you deleted the GPT table, and are now using an msdos partition table. Is this a GPT partition table?

Ich bestätige mit "no"

Dann sehe ich die Liste mit 3 Partitonen.
Liste:
- Partition - - File System - - Label - - Size - - Used - - Ununed - - Flags -
1. unallocated unallocated - 146.49 GiB - - -
2. /dev/sda1 ntfs Daten 1.68 TiB 715.01GiB 1001.52 GiB -
3. unallocated unallocated - 1.09MiB - - -

Dann hast du Testdisk Erfolg gehabt nehm ich mal an. Ansonsten würde der Linux-Kernel keine 1. Partition sehen ( /dev/sda1 )
Starte mal wieder Windows und schau nach, ob der Datenträger wieder sichbar ist. Wenn nicht auf Anhieb, dann auch mal in der Datenträgerverwaltung nachsehen.

Ja das lustigeg ist aber, dass ich mit dem programm garnichts gemacht habe^^ nur die passive analyse :D
In der Verwaltung sieht es jetzt so aus: (Könnte sein dass es schon vor der Analyse (nach Combofix) so aussah)

http://s7.directupload.net/images/140423/u2pwn7vj.png

Schonmal ein chkdsk e: probiert?

Der Typ des Dateisystems ist RAW.
CHKDSK ist für RAW-Laufwerke nicht verfügbar.

Dann wirste mit Testdisk aktiv werden müssen ;)

Alles klar, aber was genau muss ich denn da machen?
(Hab das Tut gelesen aber werden daraus nicht wirklich schlau^^)

Lass mal morgen in Ruhe schauen ja :sleepy:

was mich wieder zur frage bringt, welchem partitons table typ ich wählen soll. er sagt mir default ist EFI GPT. Andere Typen sind "Intel (Intel/Pc partition),Humax,Mac,None,Sun,XBox

EDIT: Alles klar ;)
Danke für die Hilfe und bm ;)

Müsste die richtige sein, alle anderen Typen kann man ausschließen bei deiner Platte.

Wenn ich jetzt die QuickSearch starte, sucht er in utopisch langsamer geschwindigkeit die Platte ab.

http://s1.directupload.net/images/140423/ptkisqw4.png

Musste halt abwarten :kaffee:

Soo war bis gerade eben weg, hatte den pc angelassen. also, während der search gab es 2 errors:

http://s14.directupload.net/images/140424/etehdxrf.png
http://s7.directupload.net/images/140424/ai5smu5r.png

Als ich dann wiederkam war die Suche fertig, mit diesem Error:

http://s1.directupload.net/images/140424/mlaaiqyy.png

EDIT:

Das grüne menü das erscheint wenn ich continue drücke zeigt drei partitionen an, alle mit total sinnloser zu kleiner gesamtgröße

http://s14.directupload.net/images/140424/6q8xrg24.png

Was soll dieser FAT16- und Linux-Typ der anderen beiden Partitionen? Das ist doch Murks, da müsste überall NTFS stehen.

Die Größenangabe ist nicht in Bytes sondern in Sektoren. Ein Sektor ist genau 512 Bytes groß, also die etwa 150 GB der alten WinXP-Partitionen kommen hin. Aber der Rest stimmt hinten und vorn nicht, Partitionstyp allein stimmt ja schon nicht.

ja und jetzt? :D
wenn ich als typ EFI GPT gewählt habe wurde das korrekt (zumindest die größe) angezeigt.
Soll ich mal EFI GPT wählen und dann machen wir von da weiter?

EFI/GPT ist ein Partitionierungsschema, kein "Partitionstyp". Deine 2 TB Platte wurde doch mit dem MBR-Schema partitioniert und die darin enthaltenen Partitionen sind vom Typ NTFS, nicht FAT, Linux oder irgendwas anderes

ja genau so sollte das sein^^ wie wir aber sehen ist es ja nichtmehr so^^
testdisk sagt es ist efi gpt und linux sagt es ist RAW. was jetzt tun?

Dann probier andere Tools zB Free Partition Recovery Software - EaseUS Partition Recovery.

-_-

http://s7.directupload.net/images/140424/wm5ycs4c.png

was ich außerdem nicht verstehe ist, warum windows mir die partition als OK aber RAW anzeigt, und die recovery mir die als NTFS o.O

Kann man nicht die RAW partition iwie wieder umschreiben in ne ntfs? combofix hat ja iwie auch sowas gemacht

Also, gibt es denn jetzt noch wege die Platte zu retten oder mindestens die daten iwie zu sichern? danach möchte ich die platte eh komplett frisch in mbr ntfs (wie es ja vor diesem dreckigen combofix war) konvertieren und formatieren, und dann meine system ssd ebenfalls ganz frisch machen und win 7 neu aufsetzen

Kanns sein dass Combofix die Platte iwie auf gpt umgeschrieben hat?

Ich vermute hier mal was, muss dazu aber etwas weiter ausholen:

Partitionstyp ist NTFS, wenn du zB fdisk aus der Linuxwelt nimmst und damit partitionierst, musst idR auch den Partitionstyp über einen zweistelligen Hex-Code angeben (Bespiele: 83=Linux, 07=NTFS, 8e=Linux LVM )

Das zum Partitionstyp. Über die Partition wird dann ein Dateisystem gelegt, wo man auch den Typ angeben muss zB NTFS, FAT16/FAT32 oder Linuxdateisysteme wie ext2/ext3/ext4

Willst du ein Linuxdateisystem erstellen, so sollte die Partition auf der das Dateisystem rauf soll vom Typ 83 sein. Für NTFS eben 07. Falls du unter Linux eine Partition zB mit dem Typ 83 versiehst diese aber mit FAT32 formatierst, so könnte Windows dieses Dateisystem eigentlich lesen, meckert aber rum weil es einen anderen Partitionstyp erwartet (kein 83 sondern den für FAT)

Windows erkennt wohl als Partitionstyp NTFS (7) aber das Dateisystem nicht. Vllt weil es irgendwo broken ist :wtf:
Die Recover-Tools erkennen wohl noch den Partitionstyp als NTFS und zeigen auch deswegen ne NTFS Partition (ob sie das drauf liegende Dateisystem noch zu lesen/retten vermögen steht auf einem ganz anderen Blatt). Ich hab aber keinen blassen warum sie hier ne GPT Disk sehen (oder was auch immer das genau jetzt ist)

Und nein, Combofix hat da garantiert nix gemacht. Combofix hat noch nie an den Partitionen derart rumgefummelt und schon garnicht an Platten, die nur als reines Datenlager und nicht als Systempartitionsablage dienen.

Starte nochmal Linux, mach ne Konsole (shell oder auch Terminal genannt) auf und führe diesen Befehl aus:

Dann seh ich was Linux als Partitionstyp sieht. (nach fdisk kommt ein Leerzeichen, dann Minus, kleines L (keine eins) und ein kleines U )
Poste die Ausgabe komplett in CODE-Tags

Melde mich frisch aus live heraus^^

fdisk -lu output:
nochmal zu combofix:
wie kann es dann sein das alles immer lief (hab auch nie was an der platte verändert), und direkt nach dem ausführen von combifox schmiert se ab?

Combofix hab ich schon mehrere hundert Male aufgegeben und du wärst der erste bei dem CF ne Datenplatte zerhagelt. Gut, absolut 100 % sicher kann man sie nie sein, ich da du erste wärst, bei dem CF angeblich schuld hat würde ich behaupten, dass es was anderes als CF war.

Linux erkennt auch ne GPT. Für GPT-Datenträger kommt unter Linux kein fdisk zum Einsatz sondern gdisk, mach daher mal diesen Befehl:

Und poste wieder die Ausgabe

GPT fdisk (gdisk) version 0.8.6

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: present

Found valid GPT with protective MBR; using GPT.
Disk /dev/sda: 3907029168 sectors, 1.8 TiB
Logical sector size: 512 bytes
Disk identifier (GUID): DC68A2B9-1C27-4E8D-B44B-BCAD28DC5184
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 3907029134
Partitions will be aligned on 2048-sector boundaries
Total free space is 307204205 sectors (146.5 GiB)

Number Start (sector) End (sector) Size Code Name
1 307202048 3907026943 1.7 TiB 0700 Basic data partition

seid die platte nicht mehr geht wird übrigens kein trojaner mehr gefunden. kanns sein dass sich der trojaner irgendwie in die platte gefressen hat und combofix beim fixen die platte geschrottet hat, weil der trojaner schon was verändert hatte?

Dann ist es tatsächlich ein GPT-Datenträger. Willst du mit Testdisk weiter versuchen? Andere Freeware fällt mir so aus dem Stehgreif nicht ein, die GPT-Datenträger recovern könnte

Da bin ich jetzt aber geschockt o.O
Nuja, wenn man das unmögliche beseitigt, muss das übrige, so unwahrscheinlich wie es auch ist, die wahrheit sein :)
<3

Jo, möchte es dann mit testdisk versuchen. Wie genau muss ich da denn jetzt vorgehen?

So, ich hab jetzt mal nen Tipp bekommen. Du kleiner Schlingel :D hast combofix 2x ausgeführt dann aber nur das neue Log gepostet, logischerweise sieht man was cf zuerst gemacht hat dann nicht.

Poste mal das erste Log von Combofix, sollte in C:\Qoobox zu finden sein

ach du schei*e :D hätte nie gedacht das das n unterschied macht^^

da gibt es nur ein winziges problem...

http://s1.directupload.net/images/140424/mb38dkkz.png

ähh ja also combofix.txt in C: ist die neue, combofix2 in C:/Q... ist die erste ne?

*facepalm*

Hier dann die erste log, die combofix2 heißt... diese logik :D

[CODE]
Combofix Logfile:
--- --- ---

Dazu muss gesagt werden, dass es beim ersten durchlauf kleine komplikationen gab.
Ich hatte gedacht das es reicht den echtzeitscanner von avira zu deaktivieren. als ich dann combofix ausgeführt habe meldete sich avira mit der warnung "verdächtiger zugriff auf registry".
ich habe combofix normal durchlaufen lassen, dann avira ganz deaktiviert und dann halt nochmal durchlaufen lassen.

Ich seh da so nix was auf dein Plattenproblem hinweisen könnte...ich frag gleich nochmal myrti ob sie rüberschauen kann

oooooo wenn du nicht mehr weiter weißt... dann wird es kritisch

Wann hattest du denn zuletzt direkt auf deine nun verschwundene Platte Zugriff gehabt...während des ersten Laufs hat cf nämlich sehr viele verwaiste Einträge entdeckt die sich alle auf dein abhanden gekommenes E-Laufwerk beziehen. Ich würde sagen du hattest schon vor CF ein kaputtes Laufwerk E:

Mit 99.99% Sicherheit ging es vorher noch.

Und selbst wenn nicht, vorher habe ich ja auch nur die anderen logger programme nach dem schema benutzt, und davor ging es 100%

da fällt mir was ein... ehm hehe joa also... ich würde nicht verstehen warum oder wieso aber...
Bevor ich die ganzen tools ausgeführt habe, hab ich einen systemwiederherstellungspunkt erstellt... und auf E: gespeichert. Er hatte mich auch iwas gefragt ob ich iwas ändern will (anner platte E:) Damit die bootfähig wird oder irgendsowas. das habe ich aber zu 200% mit NEIN bestätigt.

Wie auch immer, eindeutig geht das nicht hervor wer denn nun schuld hat von den Programmen, ändert ja auch nix an der Situation. Wichtig ist, dass wir ziemlich genau wissen, dass es ein GPT-Datenträger ist und Testdisk damit auch Recht hatte.

Wie gesagt, probier dein Glück mit Testdisk oder kauf dir ein Recover-Tool das mit GPT umgehen kann. Wenn dir deine Daten lieb sind musst du ne neue Platte mit mindestens gleich Kapazität kaufen und darauf eine bitgenaue Kopie deiner jetzigen erstellen, denn falls was schiefgeht bei der Restauration sind die Daten endgültig weg.

so wichtig sind die daten auch nicht^^
ne ich werde mein glück mit testdisk probieren, nur halt son bissl anweisung was ich da wie genau machen muss wäre cool, da die bschreibenen fälle auf dieser tut seite doch anders sind.

Lies mal das => Faq - Datenrettung + TestDisk-Anleitung - ComputerBase Forum

Freeware ist immer mit viel Lesearbeit verbunden. Ansonsten erstmal die Testversion von Datenrettung und Datenwiederherstellung - Kroll Ontrack probieren, wenn es was findet kannst du immer ja noch entscheiden ob dir die Daten die paar EUROs wert sind

man ist das kompliziert^^

ich bin jetzt im advanced menü von testdisk, und will jetzt den partitonstyp ändern.
momentan ist er "MS Data". Sollte ich da was ändern?

Was kannste denn da auswählen. Ich mach auch nicht jeden Tag testdisk :heulen:
MS DATA bzw NTFS hört sich vernünftig an, aber warte lieber

da fällt mir nochwas ein. ganz am anfang habe ich nach der anleitung mit iner softwarte die virtuellen laufwerke deaktiviert. soll ich die mal wieder aktivieren?

Hat mit virtuellen DVD-Laufwerken nix zu tun :(

weiß ich, letzte hoffnung und so :D
also, ich habe n partitons table backup gemacht, und dann einfach mal mit testdisk die partitionstabelle ge"write"d... jetzt erscheint se garnicht mehr (im explorer)
einfach backup laden, aber... wo und wie? welches wählen?

http://s7.directupload.net/images/140425/zyvllz86.png

Die MacHFS ergeben da irgendwie keinen Sinn für mich...versuch mal die "P unknown" auf NTFS zu bringen

Die unknown taucht nur auf, seitdem ich vorhin die liste gewrited habe. die unknown taucht auch nur auf, nachdem ich versuche, das backup zu laden

datenträgerverwaltung:

http://s14.directupload.net/images/140425/u76su88v.png

solange du jetzt kein totalen super tip hast der das löst oder nochmal sone letzte idee, würde ich jetzt gerne zur phase übergehen, in der die platte jetzt einfach komplett frisch aufgesetzt wird.

Probier das Tool von KrollOntrack bevor du noch mehr schrottest :)

welches tool? gibt da ja viele^^

das dauert angeblich 20h :D
wie gesagt, die daten sind nicht soo wichtig, habe mich damit abgefunden das die weg sind.
jetzt musste mir nurnoch sagen wie man den bad boy richtig frisch formatiert ^^

Kannste alles in der Datenträgerverwaltung machen

also partitonen löschen und normal ntfs formatieren? nix besonderes beachten?

Genau so. Man braucht schon lange bei Windows keine Zusatztools mehr um seine Platten zu partitionieren.

Noch ne Sache. Ich habe gefühlte 1000 verknüpfungen und angeblich installierte Programme, die ja logischerweise weg sind (waren alle auf E:). wie lösche ich die alle?

EDIT: hab da ne 200MB EFI System partiton, die bekomme ich nicht weg

dann nimm linux und starte gparted, neue Partitionstabelle, dann den Rest unter Windows weitermachen

Noch was zu den programmen? Also die wegzubekommen

Wir haben nichtmal richtig angefangen da fing dein jammern mit deiner Platte an :p

haha :D
joa dat kam aber auch unerwartet :D

Ich glaube aber das ich windows direkt ganz neu aufsetze

Siehste so ergibt sich das ganze dann :D :party:

Noch ne letzte Frage: :D

muss ich iwas beachten wenn ich die jetzige system ssd formatiere und in welches format ich die formatiere?

Du kannst eh nur ntfs nehmen bei windows

Alles klar.
Damit ist hier vorbei und SOLVED.

Da du keine PM´s nimmst, möchte ich dir hier für deine hilfe und für deine aufgewendete zeit danken. Jeden tag hilst du fremden leuten stundenlang, menschen wie dich müsste es mehr geben ;)
Also nochmal vielen dank für deine hilfe, werde dich und das forum hier generell allen weiterempfehlen, so ein support habe ich noch nie gesehen (auch nicht bei kostenpflichtigen angeboten) :)

In diesem Sinne, Danke Danke an dich und ans team ;)

MfG, Marc

Dann wären wir durch! :daumenhoc


Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen.

Helfen kann dir dabei delfix:


Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.