TR/Crypt.XPACK.Gen gelöscht, oder nicht?
 

Hallo Experten,

ich habe schon gegooglet etc., aber nichts passendes gefunden. Und zwar hat gestern mein AntiVir Alarm geschlagen. Und zwar handelte sich um den sehr bekannten TR/Crypt.XPACK.Gen Trojaner. Nun stand da, dass er sich in der .exe Datei C:/Windows/xmlinst.exe befand, also hab ich kurzer Hand, und ohne nachzudenken, diese .exe gelöscht. Nun stellen sich mir zwei Fragen:

1. War diese Datei wichtig?

2. Ist der Trojaner jetzt vom PC? (Mein AntiVir finden keinen mehr, auch die Kaspersky Onlinedurchsuchung nicht.)

(Ich besitze Windows Vista)


Vielen Dank für die Hilfe schon mal im Voraus.

Lop S&D

Lade dir Lop S&D herunter.

Deaktivier bitte dein Antivirenprogramm während des folgenden Scans

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

Natürlich alles nur, wenn du als Admin eingeloggt bist.

@ Sunny
hast du das jetzt an Email Adresse gesehen dass es selbe User ist?

Was meinst du?

Ich habe nur gesehen das der User in allen möglichen Themen dazwischengepostet hat, anstatt gleich sein eigenes Thema zu erstellen. ;)
(so wie es sein sollte. :D)

So sry dass es so lange gedauert hat. Meine Internetverbindung wird immer unterbrochen. Liegt das vllt. an diesem Trojaner? :rolleyes:

Hm da steht zwar: USER: Florizwei (Not Administrator ! ) aber ich bin Admin. Oder soll ich es nochmal machen, mit Rechtsklick "Als Admin ausführen"?

So hier ist der Bericht:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz )
BIOS : Phoenix TrustedCore(tm) NB Service Pack 3B Version 0.00 03SR
USER : Florizwei ( Not Administrator ! )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.1.254.000 (Activated)
C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
D:\ (Local Disk) - NTFS - Total:110 Go (Free:96 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 27.02.2009|17:31 )

[ UAC => 1 ]

--------------------\\ Ordner Verzeichnis unter Local

[25.02.2009|00:59] C:\Users\***AppData\Local\Adobe
[21.06.2008|13:33] C:\Users\***\AppData\Local\Anwendungsdaten
[02.12.2008|19:27] C:\Users\***\AppData\Local\Apple
[02.12.2008|19:32] C:\Users\***\AppData\Local\Apple Computer
[10.08.2008|22:08] C:\Users\***\AppData\Local\ApplicationHistory
[05.02.2009|21:53] C:\Users\***\AppData\Local\AquaMark3
[11.08.2008|16:37] C:\Users\***\AppData\Local\ashampoo
[06.11.2008|11:23] C:\Users\***\AppData\Local\d3d8caps.dat
[06.11.2008|11:23] C:\Users\***\AppData\Local\d3d9caps.dat
[25.02.2009|00:10] C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[11.08.2008|16:05] C:\Users\***\AppData\Local\Downloaded Installations
[15.10.2008|18:01] C:\Users\***\AppData\Local\FRITZ!
[21.06.2008|16:32] C:\Users\***\AppData\Local\fusioncache.dat
[22.06.2008|11:55] C:\Users\***\AppData\Local\GameSpy
[29.12.2008|02:31] C:\Users\***\AppData\Local\gctmp
[25.01.2009|13:54] C:\Users\***\AppData\Local\GDIPFONTCACHEV1.DAT
[27.02.2009|17:20] C:\Users\***\AppData\Local\IconCache.db
[27.12.2008|01:35] C:\Users\***\AppData\Local\Microsoft
[20.07.2008|14:24] C:\Users\***\AppData\Local\Microsoft Games
[25.01.2009|19:10] C:\Users\***\AppData\Local\Microsoft Help
[11.08.2008|13:46] C:\Users\***\AppData\Local\Mozilla
[26.06.2008|19:45] C:\Users\***\AppData\Local\Oblivion
[17.09.2008|20:06] C:\Users\***\AppData\Local\PunkBuster
[17.12.2008|15:05] C:\Users\***\AppData\Local\Richi
[27.02.2009|17:31] C:\Users***\AppData\Local\Temp
[21.06.2008|13:33] C:\Users\***\AppData\Local\Temporary Internet Files
[05.12.2008|14:25] C:\Users\***\AppData\Local\TVU Networks
[21.06.2008|13:33] C:\Users\***\AppData\Local\Verlauf
[21.06.2008|16:34] C:\Users\***\AppData\Local\VirtualStore
[19.07.2008|22:22] C:\Users\***\AppData\Local\World in Conflict
[29.12.2008|01:33] C:\Users\***\AppData\Local\Xenocode
[6|Datei(en),] C:\Users\***\AppData\Local\Bytes
[27|Verzeichnis(se),] C:\Users\***\AppData\Local\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\Windows\Tasks

[27.02.2009 17:22][--ah-----] C:\Windows\tasks\SA.DAT
[27.02.2009 17:21][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Ordner Verzeichnis unter C:\ProgramData

[29.12.2007|03:28] C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}
[25.02.2009|01:00] C:\ProgramData\Adobe
[11.08.2008|16:08] C:\ProgramData\Ahead
[08.06.2008|14:51] C:\ProgramData\Anwendungsdaten
[02.11.2006|14:02] C:\ProgramData\Application Data
[19.06.2008|17:52] C:\ProgramData\ashampoo
[10.08.2008|15:04] C:\ProgramData\Avira
[26.01.2009|13:15] C:\ProgramData\CheckPoint
[20.06.2008|23:17] C:\ProgramData\CyberLink
[02.11.2006|14:02] C:\ProgramData\Desktop
[02.11.2006|14:02] C:\ProgramData\Documents
[08.06.2008|14:51] C:\ProgramData\Dokumente
[11.08.2008|16:05] C:\ProgramData\Electronic Arts
[14.12.2008|17:35] C:\ProgramData\ezsid.dat
[08.11.2008|18:07] C:\ProgramData\ezsidmv.dat
[08.06.2008|14:51] C:\ProgramData\Favoriten
[02.11.2006|14:02] C:\ProgramData\Favorites
[17.02.2009|19:37] C:\ProgramData\FLEXnet
[11.02.2009|18:46] C:\ProgramData\FreeDownloadManager.ORG
[01.12.2008|20:20] C:\ProgramData\ICQ
[20.06.2008|11:55] C:\ProgramData\InstallShield
[19.06.2008|17:35] C:\ProgramData\LightScribe
[26.01.2009|13:10] C:\ProgramData\McAfee
[18.12.2008|17:00] C:\ProgramData\Messenger Plus!
[21.01.2009|23:28] C:\ProgramData\Microsoft
[24.01.2009|03:05] C:\ProgramData\Microsoft Help
[29.12.2007|02:14] C:\ProgramData\Movie
[02.12.2008|15:57] C:\ProgramData\NVIDIA
[19.11.2008|03:55] C:\ProgramData\PrettyMay
[11.01.2009|13:53] C:\ProgramData\Skype
[02.11.2006|14:02] C:\ProgramData\Start Menu
[08.06.2008|14:51] C:\ProgramData\Startmenü
[29.12.2008|05:30] C:\ProgramData\Symantec
[02.11.2006|14:02] C:\ProgramData\Templates
[05.12.2008|14:25] C:\ProgramData\TVU Networks
[08.06.2008|14:51] C:\ProgramData\Vorlagen
[06.02.2009|19:32] C:\ProgramData\WindowsSearch
[27.12.2008|01:28] C:\ProgramData\WLInstaller
[26.02.2009|18:08] C:\ProgramData\Xfire
[2|Datei(en),] C:\ProgramData\Bytes
[39|Verzeichnis(se),] C:\ProgramData\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files

[29.12.2007|03:28] C:\Program Files\Activation Assistant for the 2007 Microsoft Office suites
[25.02.2009|01:01] C:\Program Files\Adobe
[24.01.2009|17:51] C:\Program Files\Adobe Media Player
[14.09.2008|17:09] C:\Program Files\AGEIA Technologies
[05.12.2008|14:18] C:\Program Files\Ashampoo
[10.08.2008|15:04] C:\Program Files\Avira
[29.12.2008|03:10] C:\Program Files\AviSynth 2.5
[20.02.2009|23:11] C:\Program Files\Common Files
[29.12.2007|02:04] C:\Program Files\CyberLink
[02.01.2009|20:51] C:\Program Files\DVDVideoSoft
[12.02.2009|14:39] C:\Program Files\EA GAMES
[18.01.2009|15:37] C:\Program Files\FileZilla FTP Client
[11.02.2009|18:47] C:\Program Files\Free Download Manager
[20.02.2009|23:11] C:\Program Files\FRITZ!Box
[20.02.2009|23:11] C:\Program Files\FRITZ!BoxPrint
[20.02.2009|23:11] C:\Program Files\FRITZ!DSL
[26.02.2009|14:25] C:\Program Files\G4box
[01.11.2008|13:18] C:\Program Files\GameSpy Arcade
[08.06.2008|14:51] C:\Program Files\Gemeinsame Dateien [C:\Program Files\Common Files]
[01.12.2008|20:21] C:\Program Files\ICQ6.5
[14.02.2009|00:51] C:\Program Files\InstallShield Installation Information
[29.12.2007|01:56] C:\Program Files\Intel
[02.12.2008|19:29] C:\Program Files\Internet Explorer
[14.12.2008|16:52] C:\Program Files\Java
[03.02.2009|13:33] C:\Program Files\Maxis
[12.02.2009|18:03] C:\Program Files\Messenger Plus! Live
[23.10.2008|18:47] C:\Program Files\Microsoft Games
[21.01.2009|18:44] C:\Program Files\Microsoft Office
[21.01.2009|23:28] C:\Program Files\Microsoft Small Business
[30.10.2008|16:14] C:\Program Files\Microsoft SQL Server
[21.01.2009|18:44] C:\Program Files\Microsoft Works
[21.01.2009|23:31] C:\Program Files\Microsoft.NET
[02.12.2008|16:17] C:\Program Files\Movie Maker
[06.02.2009|15:53] C:\Program Files\Mozilla Firefox
[02.11.2006|13:37] C:\Program Files\MSBuild
[29.12.2007|02:08] C:\Program Files\MSSOAP
[10.08.2008|22:04] C:\Program Files\MSXML 4.0
[29.10.2008|21:52] C:\Program Files\OpenAL
[18.02.2009|21:18] C:\Program Files\PKR
[29.12.2007|01:51] C:\Program Files\Realtek
[02.11.2006|13:37] C:\Program Files\Reference Assemblies
[29.12.2008|17:06] C:\Program Files\Reganam
[29.12.2007|03:35] C:\Program Files\Samsung
[13.02.2009|23:46] C:\Program Files\Sierra
[11.01.2009|13:53] C:\Program Files\Skype
[17.02.2009|19:42] C:\Program Files\Softnyx
[29.12.2007|01:53] C:\Program Files\Synaptics
[01.01.2009|17:48] C:\Program Files\Total Video Converter
[02.11.2006|14:01] C:\Program Files\Uninstall Information
[24.12.2008|06:23] C:\Program Files\VideoLAN
[29.12.2007|01:54] C:\Program Files\WIDCOMM
[02.12.2008|16:17] C:\Program Files\Windows Calendar
[02.12.2008|16:17] C:\Program Files\Windows Collaboration
[02.12.2008|16:17] C:\Program Files\Windows Defender
[02.12.2008|16:17] C:\Program Files\Windows Journal
[27.12.2008|01:35] C:\Program Files\Windows Live
[12.02.2009|12:44] C:\Program Files\Windows Mail
[02.12.2008|16:17] C:\Program Files\Windows Media Player
[08.06.2008|14:51] C:\Program Files\Windows NT
[02.12.2008|16:17] C:\Program Files\Windows Photo Gallery
[02.12.2008|16:17] C:\Program Files\Windows Sidebar
[14.02.2009|15:01] C:\Program Files\WinRAR
[14.02.2009|02:44] C:\Program Files\Wolfenstein - Enemy Territory
[26.02.2009|18:05] C:\Program Files\Xfire
[26.01.2009|13:03] C:\Program Files\Zone Labs
[0|Datei(en),] C:\Program Files\Bytes
[67|Verzeichnis(se),] C:\Program Files\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files\Common Files

[25.02.2009|01:02] C:\Program Files\Common Files\Adobe
[24.01.2009|17:47] C:\Program Files\Common Files\Adobe AIR
[11.08.2008|16:07] C:\Program Files\Common Files\Ahead
[20.02.2009|23:11] C:\Program Files\Common Files\AVM
[21.01.2009|18:44] C:\Program Files\Common Files\DESIGNER
[02.01.2009|20:52] C:\Program Files\Common Files\DVDVideoSoft
[21.10.2008|12:12] C:\Program Files\Common Files\INCA Shared
[20.06.2008|11:44] C:\Program Files\Common Files\InstallShield
[10.08.2008|20:44] C:\Program Files\Common Files\Java
[29.12.2007|02:01] C:\Program Files\Common Files\LightScribe
[23.01.2009|18:23] C:\Program Files\Common Files\Macrovision Shared
[24.01.2009|03:03] C:\Program Files\Common Files\microsoft shared
[29.12.2007|02:08] C:\Program Files\Common Files\MSSoap
[11.08.2008|16:09] C:\Program Files\Common Files\Nero
[12.08.2008|00:23] C:\Program Files\Common Files\PX Storage Engine
[02.11.2006|12:18] C:\Program Files\Common Files\Services
[11.01.2009|13:53] C:\Program Files\Common Files\Skype
[02.11.2006|12:18] C:\Program Files\Common Files\SpeechEngines
[21.01.2009|23:28] C:\Program Files\Common Files\System
[07.11.2008|03:04] C:\Program Files\Common Files\Windows Live
[17.10.2008|23:28] C:\Program Files\Common Files\WindowsLiveInstaller
[20.02.2009|23:10] C:\Program Files\Common Files\Wise Installation Wizard
[0|Datei(en),] C:\Program Files\Common Files\Bytes
[24|Verzeichnis(se),] C:\Program Files\Common Files\Bytes frei

--------------------\\ Process

( 72 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\Users\***\AppData\Local\Temp\msgpl_1259.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3215.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3564.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3aba.tmp
C:\Users\***\AppData\Local\Temp\msgpl_4d96.tmp
C:\Users\***\AppData\Local\Temp\msgpl_509b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_541a.tmp
C:\Users\***\AppData\Local\Temp\msgpl_575c.tmp
C:\Users\***\AppData\Local\Temp\msgpl_6127.tmp
C:\Users\***\AppData\Local\Temp\msgpl_652b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_6f0f.tmp
C:\Users\***\AppData\Local\Temp\msgpl_722a.tmp
C:\Users\***\AppData\Local\Temp\msgpl_9af0.tmp
C:\Users\***\AppData\Local\Temp\msgpl_aca2.tmp
C:\Users\***\AppData\Local\Temp\msgpl_b843.tmp
C:\Users\***\AppData\Local\Temp\msgpl_bf43.tmp
C:\Users\***\AppData\Local\Temp\msgpl_c3a8.tmp
C:\Users\***\AppData\Local\Temp\msgpl_c990.tmp
C:\Users\***\AppData\Local\Temp\msgpl_dc3b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_f000.tmp
C:\Users\***\AppData\Local\Temp\msgpl_fa53.tmp
C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies\florizwei@advertising[2].txt
C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies\florizwei@adopt.euroclick[2].txt

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 17:31:47
Windows 6.0.6001 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 6

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\Users\***\Music\youtube\Hip-Hop & R'n'B\lil -wayne feat. fat joe - crackhouse.mp3


[F:420][D:44]-> C:\Users\***\AppData\Local\Temp
[F:298][D:1]-> C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies
[F:1046][D:26]-> C:\Users\***\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:75][D:7]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 27.02.2009|17:33 - Option : [1]

--------------------\\ Scan beendet um 17:33:34
[ UAC => 1 ]

@ Sunny ups ich dachte das wären gleiche User und er hätte sich einen neuen Account gemacht, weil ihm woanders nicht geholfen wird


@ cooLpaC
sorry ich bin grad an einem anderen PC ich muss erstmal die ganzen Anleitungen holen, warte einen Moment ;)

Na klar, immer ruhig. :)

EDIT: das ganze kann hier abgebrochen werden wenn du pes 2009 spielst oder installiert hast!


Hallo :hallo:


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HiJackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.



CCleaner

• Downloade Ccleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript



Chache leeren

Um den Cache zu löschen, drücke diese Tastenkombination bei geöffnetem FF (FireFox):


Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.



Konfiguriere die Ordneransicht vernünftig um => Ordneransicht


mal sehen was der hier hinkriegt:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Also gehe ich mal davon aus, dass der Trojaner noch auf meinem Laptop ist. Aber warum zeigt mein AntiViren Programm nichts mehr an?

kann verschiedene Ursachen haben, aber spielst du pes 2009 oder ist es bei dir installiert?

Nein, ich bevorzuge Fifa. ^^

Ehrlich gesagt wärs für dich besser hättest du pes 2009 gezockt statt Fifa dann wärs höchstwahrscheinlich eine false positiv :D

aber mach weiter mit der Anleitung

Hab jetzt alles gemacht, bin jetzt im abgesicherten Modus gewesen, wollte runthis.bat starten, ging aber nicht, es kam ein blaues kleines Fenster, das gleich wieder geschlossen wurde.

Was tun?

Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:


dann noch einmal versuchen mit SDFix