Vielleicht sind nicht alle Stümper...
Aber den Taskmanager mit gebrochenen Fingern aufrufen ...wo doch ein Mausklick mit der rechten Taste in die untere blaue Leiste genügt hätte....

Also wie der Explorer aufzurufen ist ,ist jetzt auch klar,ja ?
Sind die von mir genannten Dinge umgestellt ?

Dann machen wir jetzt weiter im Text ,okay ?

Wichtig für dich sind diese beiden Einträge in deinem Hijackthis Log !!!

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PH-113

 

O4 - HKLM\..\Run: [EIKEPC] C:\WINDOWS\SYSTEM32\EIKEPC.vbs

Der Taskmanager folgendes ist zu tun : alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.
Es könnte sich auch um einen anderen Buchstaben handeln ...wichtig für dich ist die Endung :script.exe !!!
 Die schon von mir erkannte VBS-Datei löschen :C:\WINDOWS\SYSTEM32\EIKEPC.vbs
Die suchst du am Besten erstmal über die "suchen Funktion von Windows.Start "suchen eingeben : "EIKEPC" oder "EIKEPC.vbs"
Hast du sie gefunden :löschen
 Deine Festplatten nach Dateien mit dem Namen "autorun.inf" absuchen wie  du es oben auch schon gemacht hast. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.
In HiJackThis vor folgende Zeilen einen Haken machen und dann "Fix checked" klicken(der Button links unten), dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:
 

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PH-113

O4 - HKLM\..\Run: [EIKEPC] C:\WINDOWS\SYSTEM32\EIKEPC.vbs

Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran.falls du welche hast !!
 Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten , das verhindert den Autorun.Jedes Gerät einzeln einstöpseln und erst durcharbeiten !!
 Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.Die vorhin im Taskmanager ausgeschalteten Tasks kommen nach einem Neustart von selbst wieder zurück.
Du kannst nun einen Neustart machen .
Aber nur wenn du keine USB Geräte angeschlossen hast.!!!
Das ist wichtig sonst bist du keinen Schritt weiter..

Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei die ich dir gezeigt habe und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen so einstellen das komplett abgesucht wird.


Das sollte es gewesen sein. Ohne einen einzigen Neustart, ohne formatieren und neuinstallieren....

Allerdings meine ich noch anderes Zeug bei dir gesehen zu haben...

Du meldest dich wenn du durch bist und gibst ein Bericht ab wie es gelaufen ist und ob alles klar ist...?

Oder aber wenn du mit irgend was nicht klar kommst.....
Sir Reklov

Habe gleich mal (ja ,ich specialagent) ein bissel die "neuen" Tricks aus Sir Reklovs Trickkiste ausprobiert.. Schon cool.. Nur bei mir öffnet sich weder der TaskMgr mit Strg+alt+entf noch mit der Taskleiste???
Könntest du mir auch helfen
Mein Prob: Schlüssel System nicht vorhanden,nehme an ,dass ich mein System vorher  zugemült habe,..
EDIT :alter mann? wie alt ,wenn ich fragen darf? 

Rechtsklick in die Taskleiste > Taskmanager > Reiter Prozesse > gesuchter Prozess blau machen >Rechtsklick >Prozess beenden

 

Achjaa...

Im Taskm. liefen keine Prozesse die script.exe enthalten.
Außerdem habe ich die Datei C:\WINDOWS\SYSTEM32\EIKEPC.vbs nicht gefunden, auch nicht bei direkter Betrachtung im system32.
Nur die von autorun.inf hab ich drei gefunden und gelöscht.

 

Wo die autorun ist muß auch die vbs. Datei sein...
Hast du "alle Dateien sichtbar " gemacht ...?
Mit Hijack this die angegebenen Dateien gefixt..?

Wie läuft die Kiste denn jetzt..
kommt noch der "hacket" Kram ?

Sir Reklov 

So hab nun einfach das im HJT gemacht, und nun isses wech im IE.
Hoffe mal das wars nun 

Darum vielen Danke an dich Reklov 

Gern geschehen...

Ich würde dir aber noch empfehlen dieses Tool durchlaufen zu lassen
http://www.zdnet.de/downloads/prg/7/2/de10804572-wc.html

Auch da wird ein Log erstellt und auch da würde ich gerne mal einen Blick drauf wertfen.
Ich bin mir nämlich nicht so ganz sicher ,ob du schon als Geheilt entlassen werden kannst....
Sir Reklov

hallo,
ich schaltem mich mal einfach dazu, da ich wahrscheinlich selbiges oder aber ein ähnliches problem hab.
mein betriebssystem ist vista in der 32 bit version sp1 und bei meinemie-browser steht hacked by lieriormliam, interessant sind dabei die letzten 4 buchstaben.
liam ist (ich wohne in einem internat) mein nachbar und hat seinen rechner seit einem jahr nicht am netz gehabt(kein anschluss auf den zimmern), lieriormliam ist der name seines rechners.
nachdem ich meinen usbstick bei ihm angeschlossen hatte, hatte ich eine scriptdatei mit diesem namen auf meinem laptop, nod32 hats in null komma nix gelöscht, dann sehe ichs in meinem i-netexplorer...
könnt ihr mir auch ohne logdatei selbiges problem wie bei curuba diagnostizieren, sonst fertige ich noch eine an

schon mal danke im vorraus

mad matt