Hi,

probieren wir es mal mit OTL...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

chris

Hi,

hier das Ergebnis:


All processes killed
========== FILES ==========
File\Folder c:\users\Muhammet\AppData\Roaming\Adobe\Update\hlpkrn.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: .....
->Temp folder emptied: 22542187 bytes
->Temporary Internet Files folder emptied: 252944079 bytes
->Java cache emptied: 24488048 bytes
->FireFox cache emptied: 105522608 bytes
->Google Chrome cache emptied: 12597119 bytes
->Flash cache emptied: 128086 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4733992 bytes
RecycleBin emptied: 1840908 bytes

Total Files Cleaned = 405,00 mb



[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Muhammet
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.12.0 log created on 10032010_115716

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hi,

was treibt der Recher?

chris

Hi,

zurzeit habe ich keine Probleme, es bleibt nichts hängen und ich kann ins Internet mit IE und firefox.

Jedoch ist es mir nicht möglich, die Viren-Funde unter Avira zu löschen, denn bei jedem einzelnem Löschversuch hängt der Rechner eine Weile. So würde es Tage dauern, bis ich die gelöscht habe.

Hi,

teile mir bitte mal die Funde von Avira mit (Pfad und Dateiname)...

chris

Es ist mehrmals die Datei:

In der Datei 'C:\Windows\System32\wininit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.96256.32' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

und

In der Datei 'C:\Users\Muhammet\AppData\Roaming\Adobe\Update\hlpkrn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Riner.ZL' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Hi,

die wininit.exe wurde bereits von CF bereeinigt, die andere nicht gefunden...

Lade beide Dateien bei Virustotal.com hoch und poste jeweils das gesamte Ergebnis. Leite weiterhin die Dateien über Avira zur Untersuchung weiter (entweder direkt aus der Quarantäne) oder wie folgt:

Avira, Fehlalarm:
Sende die gemeldete Datei bitte an Avira mit dem Vermerkt "verdacht auf Fehlalarm":
Submit your sample

chris

Ergebnis: C:\Windows\System32\wininit.exe



User:
BugBopperGuy
Reputation:
382 credits
Comment date:
2010-09-13 19:11:18 (UTC)
BugBopper identifies this file as Trojan.Bat.Erro More info: hxxp://BugBopper.com/MalwareInfo/MD5/83/83d0a4ef71406fce0fcd1924f70c8600.asp
Tags: erro, destoyer, windows
6f064269a7b26cd0dc01886965f00a2f88f50ad4abb1c3b396f728d82693cc4d

Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful

User:
RyanMM
Reputation:
3 credits
Comment date:
2010-09-21 19:07:48 (UTC)
#Redbook.sys located in the #system32 / #drivers directory. Detected by TDSSKiller as a #rootkit. From the #TDSSKiller log:

2010/09/21 14:30:43.0484 redbook (43f64dbb7296ce330d300b0ff1dc0cd1) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/21 14:30:43.0484 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 43f64dbb7296ce330d300b0ff1dc0cd1, Fake md5: b31b4588e4086d8d84adbf9845c2402b
2010/09/21 14:30:50.0125 Backup copy found, using it..
2010/09/21 14:30:50.0125 C:\WINDOWS\system32\DRIVERS\redbook.sys - will be cured after reboot
2010/09/21 14:30:50.0125 Rootkit.Win32.TDSS.tdl3(redbook) - User select action: Cure
2010/09/21 14:30:58.0046 Deinitialize success

Removing this file and this file alone restored the system to proper functionality, so I'm calling this malware.


Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
13208846 wininit.exe 94 KB KNOWN CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
wininit.exe KNOWN CLEAN


Die Datei hlpkrn.exe habe ich im entsprechenden Ordner nicht gefunden.

Hi,

das sieht nicht nach einem Ergebnis von Virustotal.com aus, hier ein Beispiel für die atapi.sys...
chris

So müsste es richtig sein



wininit.exe
Submission date:
2010-10-05 06:17:31 (UTC)
Current status:
finished
Result:
1 /43 (2.3%)

VT Community

goodware
Safety score: 100.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.05.00 2010.10.04 -
AntiVir 7.10.12.118 2010.10.04 -
Antiy-AVL 2.0.3.7 2010.10.05 -
Authentium 5.2.0.5 2010.10.05 -
Avast 4.8.1351.0 2010.10.04 -
Avast5 5.0.594.0 2010.10.04 -
AVG 9.0.0.851 2010.10.04 -
BitDefender 7.2 2010.10.05 -
CAT-QuickHeal 11.00 2010.10.05 -
ClamAV 0.96.2.0-git 2010.10.05 -
Comodo 6285 2010.10.05 -
DrWeb 5.0.2.03300 2010.10.05 -
Emsisoft 5.0.0.50 2010.10.05 -
eSafe 7.0.17.0 2010.10.03 -
eTrust-Vet 36.1.7892 2010.10.04 -
F-Prot 4.6.2.117 2010.10.04 -
F-Secure 9.0.15370.0 2010.10.05 -
Fortinet 4.1.143.0 2010.10.04 -
GData 21 2010.10.05 -
Ikarus T3.1.1.90.0 2010.10.05 -
Jiangmin 13.0.900 2010.10.03 -
K7AntiVirus 9.63.2672 2010.10.04 -
Kaspersky 7.0.0.125 2010.10.05 -
McAfee 5.400.0.1158 2010.10.05 -
McAfee-GW-Edition 2010.1C 2010.10.04 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.6201 2010.10.05 -
NOD32 5503 2010.10.04 -
Norman 6.06.07 2010.10.04 -
nProtect 2010-10-05.01 2010.10.05 -
Panda 10.0.2.7 2010.10.04 -
PCTools 7.0.3.5 2010.10.02 -
Prevx 3.0 2010.10.05 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.05 -
Sunbelt 6985 2010.10.05 -
SUPERAntiSpyware 4.40.0.1006 2010.10.05 -
Symantec 20101.2.0.161 2010.10.05 -
TheHacker 6.7.0.1.048 2010.10.04 -
TrendMicro 9.120.0.1004 2010.10.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.05 -
VBA32 3.12.14.1 2010.10.04 -
ViRobot 2010.10.4.4074 2010.10.05 -
VirusBuster 12.67.2.0 2010.10.04 -

Hi,

die Datei ist wohl sauber, ein f/p...

chris

Hi,
Chris vielen lieben Dank für deine Mühe und Unterstützung.

Meine letzte Frage, soll ich Avira löschen und dann nochmals neu installieren, damit die Funde gelöscht werden?