|
Antimalware Doctor ist weg oder doch nicht? Hallo erstmal!!! Zuerst einmal, falls ich hier falsch bin bitte nocht böse sein. Bin neu hier in diesem Forum und hoffe das ihr mir helfen könnt! Ich bin echt am verzweifeln... Ich schilder euch mal mein Problem: Ich hab mir leider diesen Antimalware Doctor eingefangen. Ich habe nach all den Anleitungen die hier gepostet sind gehandelt, aber er ging einfach nicht weg. Ich habe mit dem Avira AntiVir, mit dem Malwarebyte Anti-Malware, mit dem Spybot, mit ccleaner, mit rkill und zum Schluss auch mit desinfect von einer bootfähigen Cd alles probiert. Im abgesicherten Modus war nichts zu finden, nur starte ich wieder normal ist das Fenster wieder da gewesen und Antimalware hat wieder 2 verseuchte Registryschlüssel gefunden. Nachdem ich im ccleaner beim Autostart 2 Einträge gefunden habe die ich nicht kenne habe ich diese manuell im explorer gelöscht und siehe da: es kommt kein Fenster mehr. Ist er jetzt weg??? Seit ich diesen Virus habe funktioniert mein Internet nicht mehr, sprich mein Pc findet den Wlan Stick nicht und die Firewall läßt sich nicht aktivieren, somit nehme ich an das noch irgendein Programm diese ausschaltet. Ich bin echt an verzweifeln, ich quäl mich schon seit über 2 Tagen damit herum! Bitte helft mir!!! Danke im voraus, daGeri |
Hallo und :hallo: Poste bitte alle schon erstellten Logfiles, besonders die von AntiVir und Malwarebytes unteressieren mich. |
Hallo! Welche malware log datei brauchst du? Ich glaub ich hab so um die 30! Und welche von avira? Jeweils die letzten oder eher am Anfang des Problems? sorry für die Fragen, aber ich kenn mich nicht wirklich beim Pc aus! Danke daGeri |
Alle Logfiles mit den relevanten Funden. Verpack am besten alle Log bzw. Textdateien in eine ZIP-Datei. |
So, ich hoffe diese passen! |
Zitat:
|
Das Problem ist das ich ja keinen Zugang zum Internet hab (also mit dem Pc). Ich lade also alles über den Laptop runter. Also updates kann ich ja so nicht machen, oder? |
Du kannst mal Malwarebytes auf dem Rechner installieren, der ins Internet kommt. Da machst Du ein Update mit Malwarebytes. Sollte Version 1.46 und Datenbank Version 4188 sein auf dem Rechner mit Internet. Dann kopierst Du den Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware auf einen Stick und übertragst diesen auf den Rechner ohne Internet ins gleiche Verzeichnis (alten Ordner, überschreiben) |
Ich bin echt zu dumm dafür! Ich kopiere den kompletten Ordner von C:Programme... (weil .../Anwendungsdatein... hab ich nicht!) mit der aktuellen Datenbank (4189) auf den Pc. Der schreibt mir aber das das Programm bzw diese datei (mbamext.dll) nicht eingefügt werden kann weil das Programm verwendet wird. Ist aber nix offen, hab sogar alles mit rkill abgeschalten. Das ist echt frustrierend!!! |
Lass Dir bitte alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html |
Du bist mein Held!!! Ist schon am Pc und hab schon mal den Quickscann gemacht. Beim löschen der 3 Datein ist der Pc aber abgestürzt. Der Vollscan läuft gerade! Danke schon mal. Hier ist mal der log vom Quickscann: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4189 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.06.2010 16:01:00 mbam-log-2010-06-11 (16-01-00).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 130617 Laufzeit: 3 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Gerald\Anwendungsdaten\drv73825.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Wgequa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully. |
Hallo, da bin ich wieder. Hab leider kurz arbeiten müssen. So der vollständige Scan ist durch und hat keine Fehler festgestellt. Firewall lässt sich aber immer noch nicht aktivieren und beim Internet ist auch immer noch Fehlanzeige. Was soll ich als nächstes tun? Ich glaub mal, durch Deine Hilfe, sind wir am richtigen Weg! |
Ich hab jetzt mal HiJackThis drüberlaufen lassen. Anbei der log. Danke für Deine Hilfe! HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Also der Doctor dürfte weg sein! Egal mit welchen Programm ich suche, es findet nichts mehr. Das ist soweit mal gut. Schlecht ist jetzt immer noch das sich die Firewall nach ca. 20 sekunden abschaltet und ich immer noch nicht ins internet kann. Im Gerätemanger habe ich im Unterordner Netzwerkadapter 10 Einträge und alle sind mit einem gelben Rufzeichen versehen. Egal welchen Eintrag ich anklicke, es steht immer: Der Gerätetreiber für diese Hardware kann nicht geladen werden. Der Treiber ist möglicherweise beschädigt oder nicht vorhanden. (Code 39) Ich habe nach Treiber im Netz gesucht und der aktuellste sollte (glaub ich) der sein: 15.46_nforce_winxp32_ion_international_whql. Also hab ich den mal auf den Pc gespielt. Diesen hatte ich aber schon, trotzdem habe ich ihn mit dem neuen ersetzt. Immer noch die selbe Fehlermeldung. Ich bin am verzweifeln!!! |
Wir müssen noch mehr kontrollieren. hast Du schon Log mit OTL.exe erstellt? |
Hallo! Hab gerade otl log erstellt. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hab ich gemacht, der Computer wurde heruntergefahren und beim hochfahren fragt mich spybot das ein wichtiger Registrierungsdatenbank-eintrag geändert wurde. Kategorie: System Startup global entry Änderung: Value gelöscht Eintrag: wbextsuk und ein verkehrtes fragezeichen Alte Daten: C:\windows\System32\wbextsuk verkehrtes fragezeichen .exe Soll ich erlauben oder verweigern? soll ich spybot deinstallieren? |
Deinstallier Spybot, das Tool hat seine besten Jahr hinter sich!! |
So Spybot ist weg! Und hier ist der log All processes killed ========== OTL ========== No active process named wbextsuk¿.exe was found! No active process named wbextsuk¿.exe was found! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wbextsuk¿ deleted successfully. C:\WINDOWS\system32\wbextsuk¿.exe moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBuUnNG\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c6-ee3f-11dd-aefa-002197948c7c}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3169c7-ee3f-11dd-aefa-002197948c7c}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11606aae-894e-11dd-affe-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11606aae-894e-11dd-affe-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11606aae-894e-11dd-affe-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11606aae-894e-11dd-affe-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11606aae-894e-11dd-affe-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11606aae-894e-11dd-affe-806d6172696f}\ not found. File D:\tools\shelexec.exe html\index.htm not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{119bcceb-dcf8-11dd-aed5-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{119bcceb-dcf8-11dd-aed5-002197948c7c}\ not found. File G:\USBNB.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1aac1b1e-d9c8-11dd-aecc-df022588aa11}\ not found. File G:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb4-f606-11dd-af06-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb4-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb4-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb4-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb4-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb4-f606-11dd-af06-002197948c7c}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb5-f606-11dd-af06-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb5-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb5-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb5-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56f7fdb5-f606-11dd-af06-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56f7fdb5-f606-11dd-af06-002197948c7c}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b80d4e68-3190-11de-af68-002197948c7c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b80d4e68-3190-11de-af68-002197948c7c}\ not found. File forever.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b80d4e68-3190-11de-af68-002197948c7c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b80d4e68-3190-11de-af68-002197948c7c}\ not found. File forever.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found. File E:\Setup.exe not found. C:\INFECTED folder moved successfully. File C:\windows\System32\wbextsuk¿.exe not found. C:\Dokumente und Einstellungen\Gerald\wbextsuk¿.exe moved successfully. ========== COMMANDS ========== C:\windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 3379920 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Gerald ->Temp folder emptied: 1618027 bytes ->Temporary Internet Files folder emptied: 39544913 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 36647448 bytes ->Flash cache emptied: 6698 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 14471998 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33237 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1139177 bytes %systemroot%\System32 .tmp files removed: 2933127 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 82400 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 95,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06132010_153325 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Verpack den Ordner C:\_OTL bitte mal in eine ZIP-Datei, vorher den Virenscanner deaktivieren, damit auch wirklich Dateien da mit in die ZIP kommen. Danach bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html |
Hab ich gemacht! Hoff das passt so! Vielen Dank nochmals für Deine Hilfe und Geduld! |
Jetzt ist eine 2te Zip datei hochgeladen worden, diesmal mit abgeschaltenen Antivir. Sorry |
Hallo Arne!!! Was soll ich, deiner Meinung nach jetzt machen? Formatieren??? Meine Bedenken sind das sich vielleicht ein Virus irgendwo versteckt und ich Zeit investiere das System neu aufzusetzen und dann hol ich ihn mir von irgendeiner versteckten Datei wieder rein. Denk ich da falsch? Gruß daGeri |
Wenn Du ein garantiert sauberes System wieder haben willst, führt nichts an format c: vorbei. |
aber wenn sich die Firewall ständig abschaltet und ich neue Treiber für das Internet installiere und ich trotzdem nicht ins Netz komm...versteckt sich da nicht irgendwas irgendwo? Oder lieg ich da falsch? |
Ich hab doch geschrieben(!!) => Wenn Du ein garantiert sauberes System wieder haben willst, führt nichts an format c: vorbei. Wir können auch noch weiter mit Combofix machen. Entscheide Dich dafür oder für format c: |
Hallo! Jetzt hab ich neu aufgesetzt und hoffe das ich lange verschont bleib. Vielen Dank für Deine Hilfe und Geduld! daGeri |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board