Hallo Peter Walder,

da diese Diskussion schon so lange geht melde ich mich auch mal zu Wort.
Ich muss Sir Reklov wirklich recht geben mit der Neuinstallation von Windows. Wenn man der Anleitung von diesem Forum genau folgt ist das nun wirklich kein Hexenwerk. Dies bekräftigt sich vor allem durch das schon Entfernte Rootkit. Und das noch: wie reklov schon gemahnt hat, die Ukrainer.
ALso, ich lege dir nochmal ans Herz : NEUAUFSETZEN !! (Daten vorher sichern, dann hast du nicht einmal Datenverlust.)

Sir Mannor

und hier jetzt auch noch mein Senf zum Thema:

Absolute Zustimmung, Neuinstallation!!!

und ich gehe sogar noch einen Schritt weiter:
du solltest mal genau überlegen wofür du deinen Rechner benötigtst, solltest du (wie ich mal vermute) ihn hauptsächlich für Internet, email und ab und zu mal nen Brief schreiben benutzen rate ich Dir ernsthaft mal über ein Linux nachzudenken.
z.B. www.ubuntu.net (oder auch Suse)
Die Aussage Linux = zu kompliziert zieht in deinem Fall wohl nicht mehr und Distributionen wie Ubuntu installieren sich mittlerweile fast wie von selbst und beinhalten alles, was "Otto-Normal-User" so benötigt.

Bleibt zu sagen:
Windows ist halt nur für Profis     

Hab mehrmals versucht, das untenstehende über Avenger laufenzulassen.
------------------------
Files to delete:
%windir%\system32\dmtvz.exe
%windir%\system32\ylmzidmj.exe 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dmtvz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ylmzidmj
------------------------
Es geht nicht! Die folgenden Meldungen kamen
- Error! Could not create ZIP-file
- Error code 0
- Could not log error

Was nun??


@Sir Reklov und andere
Ich weiss, dass ich neu aufsetzen sollte. Aber ich bin sicher nicht der einzige, der über die Ukraine umgeleitet wird. Und ich möchte helfen, diesen Brüdern das Handwerk zu legen.
Daher mache ich solange, was help rät, bis die mir auch sagen: Neu aufsetzen!

Den Brüdern das Handwerk zu legen. -genau- das versuch mal ruhig. Weil wie willst du das schaffen? Du machst es dir nur unnötig schwer. Aber versuch es .... ich misch mich hier nicht mehr ein!!

Sir Mannor

Hallo Peter,
grundsätzlich ist das Neu aufsetzen des PCs eine Möglichkeit das Problem zu lösen.
Diese Entscheidung sollte nicht von mir abhängig sein!
Das dafür oder dagegen triffst du alleine, sonst keiner.
Nur beachte dabei, zuvor deine persönlichen Daten und Einstellung zu sicher.
Weiter prüfe ob alle Setupprogramme mit den Seriennummer bereitliegen, ebenso die Zugangsdaten von Mail, DSL usw.
Rechne nur für die Installation von Windows XP mit SP2 und allen Patches bis zu 2 Stunden ein. Für weitere Anwendungsprogramme und den persönlichen Einstellungen sind schnell weitere 2 Stunden notwendig. Wenn es soweit ist, halte dir also entsprechend genügen Zeit für die Aktion frei.


Deinen Wunsch nach Gerechtigkeit kann ich verstehen, aber leider werden wir den “Brüdern“ nie das Handwerk legen.
Was wir nur erreichen können, ist eine Lösung zu erarbeiten, die anderen Anwendern in Zukunft bei der Lösung des Problems, natürlich auch dir, hilft.
Die Malware die auf deinen PC aktive ist, wurde erst Mitte Dezember zum ersten mal entdeckt. Erschreckend das bis heute kaum ein Antivirusprogramm die Malware erkennen kann. Zudem habe ich gerade mal einen einzigen Beitrag im Internet gefunden, wo jemand genau das selbe Problem hat wie du. Da die Malware recht neu und unbekannt ist sind Informationen darüber Mangelware.


Nun zu AVenger.
Lösche bitte den Ordner C:\AVenger und die Dateien die AVenger im
Stammverzeichnis C:\ angelegt hat. In der Regel sind die Text- und Batchdateien, wobei die Batchdateien einen zufälligen Namen haben.
Danach wiederhole das ausführen des Script.

Zur Kontrolle sollte eine Überprüfung mit den beiden kostenlosen Online-Scanner erfolgen.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Tipp:
Starte den Scan und lasse ihn unbeaufsichtigt laufen.
In der zwischen Zeit kannst ruhig was andere machen, aber nicht am PC ! 

Poste bitte wieder die Scanberichte hier.

Hallo,
zum letzen Mal zu "Peter Walder"

Die ukrainische Umleitung hast du selbst erst möglich gemacht.Die kommt nämlich nicht einfach so geflogen....
Ich weiß das ein Neuafsetzen immer Angst macht...
Es ist aber dem "ersten Mal" Sex nicht unähnlich...  
Immer hoffst du, keinen Fehler zu machen oder dich dumm anzustellen...
Hast du es hinter dir denkst du "Pah,so einfach geht das..

Zurück zu deiner Umleitung...
Bevor du mit dem "Avenger" dich weiter vergeblich mühst,putze erst die Ukrainer raus !
Nutze dazu diesen Link.Die "farbig" unterlegten Worte dort,sind weiterführende Link`s.Halte dich genau an die Anweisungen.

http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html

Erst müssen die Ukrainer raus ,die sich durch "Zlob" bei dir breit gemacht haben.Es sind zwei Tools angegeben.Nutze nacheinander beide,die Reihenfolge ist egal.
Eigentlich sollte "Help" das auch wissen,das erst Zlob weg muss,der übrigens in deinen Scanner-Log`s oft genug angegeben wird..
Bei "Avenger" habe ich so meine Bedenken...
Da kommt es aber nun auch nicht mehr drauf an...ich habe nämlich bei deinem ganzen verseuchten System große Bedenken...
Meine Bedenken bleiben deshalb grundsätzlicher Art bestehen !!
Ein sauberes sicheres System hast du nur durch ein "Neuaufsetzen" !!
Etwagigen Ärger ist deine Sache......
Hiermit wasche ich meine Hände in Unschuld...
Sir Reklov

Hab jetzt nochmal versucht, die Ukrainer loszuwerden und vielleicht für die nächsten Betroffenen einen Weg aus dem Desaster aufzuzeigen. Leider erfolglos.

- Hab das Entfernen von Zlob durchgespielt, wie es Sir Reklov empfohlen hat. Die Ukrainer sind gemäss highjacklof-file immer noch da...
- Hab gemäss "help" die Avenger-Einträge in C: und die Einträge, die die Windows-Suchfunktion gefunden hat, gelöscht. 2 davon konnte ich nicht löschen. Es ging dann über Avenger immer noch nicht.

Jetzt wird neu aufgesetzt. Das hätt ich zwar ohnehin getan (nachdem ich die Beiträge im trojaner-board.de gelesen hatte...). Aber es wäre eine grosse Befriedigung gewesen, wenn aus dem ganzen Effort aller Beteiligten wieder ein sauberes System geworden wäre!

Ich möchte allen danken, die ihre Zeit opfern, um Leuten wie mir zu helfen versuchen. Gibts bei Euch irgendwo eine Kaffekasse, wo man sich erkenntlich zeigen könnte?

Besten Dank und schöne Grüsse
Peter 

Hallo,
                                                    deine Einsicht in die Gegebenheiten ist mir schon Dank genug...
Außerdem trinke ich Tee und nur solchen, der von blinden Inkas unter Wasser handgepflückt wird...

Noch nen Tip...
Druck dir die Anleitungen aus,das macht es leichter und bereite vor, was du vorbereiten kannst...
Das wird schon..... don`t Panic..
Sir Reklov

 
Hallo an alle Helfer,
auch wenn ich einen eigenen beitrag eröffnen sollte,niemand eine Idee hat warum der Hijack meine lsass
anmeckert,möchte ich mich hier nochmal für die Tipps bedanken. Habe zusätzlich zum NIS2006, die Online scanner
von F-secure,ewido und Panda über meinen PC gejocht.
F-secure hatte 3xSpyware entdeckt (jetzt nix mehr),
ewido hatte offensichtlich einen Virus namens trojan.NsAnti.A gefunden (in einer Datei, die zu einem Bildschirmschoner von Winni Pooh gehörte, der schon vor mehreren Jahren deinstalliert wurde),jetzt clean laut ewido und der Panda hat nix mehr gefunden.
Ich hab mir die Scanner aber abgelegt und werde wohl zusätzlich zu meinen NIS, regelmäßig diese Scanner quälen. Bin bloß von den Socken, dass immer wieder was durchkommt. Also dank an Euch für die Links.
Viele Grüße
und seid weiter emsige helfer
Eure "mutti"

Hallo mutti;
fixe den Eintrag aus dem Logfile of HijackThis:
O4 - HKLM\..\Run: [Update] C:\WINDOWS\lsass.exe /i

Es handelt sich hier nur um einen harmlosen Rest einer bereits entfernten Malware.

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

Hallo Help,
bist du dir sicher,dass siese Datei nix mit der normalen lsass.ese im system32 zu tun hat? Weil die lsass gehört doch auch zu den ständig laufenden Prozessen,zumindest laut Taskmanager. Wie kann ich mir sicher sein, mein system mit dem löschen nicht abzuwürgen. Oder kann ich die Info von Hijack ignorieren? So unter dem Motto: Die Braut die sich nicht traut.
Viele Grüße
mutti

Schreibfehler sind hoffentlich entschuldigt.Irgendjemand hat meine tasturknöpfe einfach getauscht...°¿°...

Hallo Help,
bist du dir sicher,dass siese Datei nix mit der normalen lsass.ese im system32 zu tun hat? Weil die lsass gehört doch auch zu den ständig laufenden Prozessen,zumindest laut Taskmanager. Wie kann ich mir sicher sein, mein system mit dem löschen nicht abzuwürgen. Oder kann ich die Info von Hijack ignorieren? So unter dem Motto: Die Braut die sich nicht traut.
Viele Grüße
mutti

Da bin ich mir ganz Sicher!
C:\WINDOWS\lsass.exe /i = Malware
C:\WINDOWS\system32\lsass.exe = Windowsdatei und OK