danke, werd ich probieren. bin in der arbeit und hab mir das setup von MWB auf den stick gesaugt.

ob ich das prog updaten kann, weiß ich noch nicht, da wie gesagt manche programme fürs update verbindung zum netz bekommen und manche nicht.


vielen dank erstmal, werd's heut abend ausprobieren und meld mich dann wieder.

entity

hi,
sry für verzögerung, habe das log file.

zwei sachen, die mir noch aufgefallen sind:
1. ich kann auch keine versteckten ordner mehr anzeigen. wenn ich die ordneroption umstelle auf anzeigen und dann nochmal in die optionen schau, ist es wieder auf ausblenden. das problem hab ich auch noch mehrfach in foren gefunden.
2. mein taskmanager ist kopflos (kopfleiste fehlt), kann also nach öffnen nicht mehr geschlossen werden und ich kann auch nur die erste seite mit den aktiven anwendungen anschauen

anbei zwei logfiles, ein mbam-komplettscan vom 25. und ein quickscan von heute. hab hier keine möglichkeit, die logs per spoiler zu verstecken, oder? dann poste ich sie einfach mal.

komplett 25.03.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3913
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2010 22:58:17
mbam-log-2010-03-25 (22-58-13).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 182322
Laufzeit: 32 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\System Volume Information\_restore{FA5899EE-3F20-466C-AB51-41E0911F3461}\RP240\A0046590.exe (Adware.ADON) -> No action taken.
C:\System Volume Information\_restore{FA5899EE-3F20-466C-AB51-41E0911F3461}\RP240\A0046591.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{FA5899EE-3F20-466C-AB51-41E0911F3461}\RP240\A0046592.exe (Rogue.Installer) -> No action taken.


quickscan 27.03.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3920
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.03.2010 09:36:15
mbam-log-2010-03-27 (09-36-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115535
Laufzeit: 6 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


ich muss dazu sagen, dass ich mbam nach der auswertung jeweils nichts hab unternehmen lassen, weil ich erst das log hier posten und reaktionen einsammeln wollte.


danke für eure mühe

entity

Klarer Fall:

Nochmals scannen, evtl. mit zuvor deaktivierter Systemwiederherstellung, die Funde danach aber löschen lassen.

wie ist das mit rootkits etc?

hab angst, dass ich die funde löschen lass und sich evtl noch reste in den eingeweiden verstecken.

wie ist das mit rootkits 

Wenn alles nicht hilft :
Scannen mit LiveCD .....
http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html
ist nur am Download-Tag aktuell!!

Beschreibung
http://www.pcwelt.de/start/sicherheit/antivirus/news/189739/neue_version_des_avira_antivir_rescue_system/

ich habe gestern mit mbam alle gefundenen "infekte" heilen lassen, wobei ich evtl zu recht skeptisch war, denn

1. die gefundenen sachen sind höchstens teilweise malware-bedingt. zb die ebayshortcuts.exe ist laut netzrecherche harmlos und wird von mehreren scannern als bösartig eingestuft.

2. nach dem entfernen aller einträge hat sich NICHTS geändert. immer noch

a) verbindung zum internet, aber surfen nicht möglich
b) taskmgr kopflos
c) versteckte dateien lassen sich nicht einblenden


ich habe mir jetzt die c't 02/10 mit desinfec't bestellt, geht das so in die richtung wie das tool von avira, das mir von HCK empfohlen wird?

bei mir ist nämlich CD selber brennen problematisch (hab tatsächlich keinen brenner in meinem rechner und in der arbeit kann ich auch nicht brennen), aber um das system "von außen" scannen zu können, brauch ich ja eine bootfähige CD.


ach, noch was:
hab heut morgen nochmal das system mit mbam gescannt (vorher datenbank geupdated), kurz vor ende des scans wollte ich über ausführen firefox im safemode starten, da ist der rechner abgeschmiert. könnte natürlich sein, dass der ausführen-befehl dem scanner in die quere gekommen ist... oder war der absturz wahrscheinlich doch eher zwecks infekt?

hallo mal wieder,
habe gestern den free-AV live-CD scanner laufen lassen.

in
/media/devices/sda1/system volume information/_restore{FA5899EE-3F20-466C-AB51-41E0911F3461}/RP241/A0046738.exe

wurde
TR/Trash.Gen gefunden und als "not removable" eingestuft.

daraufhin hab ich den scanner nochmal laufen lassen mit der option "infizierte dateien umbenennen", jetzt heißt die o.g. datei A0046738.exe.xxx

seit ich das gemacht habe, fährt winXP nicht mehr hoch, weder normal, noch im abgesicherten modus, noch sonstwie.


was kann ich jetzt noch tun außer plattmachen?

entity

hallo HCK, hallo Carpenter,
irgendeine idee?

wäre schön, wenn sich das ohne neuaufsetzen nochmal hinbiegen lassen würde.

in der anleitung auf pcwelt.de steht "Die boot-fähige CD soll helfen Malware zu entfernen, wenn Windows nicht mehr startet."

bei mir war das gegenteil der fall - nach nutzen des programms startet winXP nicht mehr...

das war wohl nicht im sinne des erfinders, erst recht nicht in meinem...


weiterhin für hilfe dankbar

entity

Funzt der PC jetzt garnicht mehr?
 

so ist es! surfe gerade per psp. posten ist damit stressig deswegen der sms-style. sorry hast Du ne idee?

Eine Datensicherung rechtzeitig hätte hier Sicherheit verschafft

Es muss kein komplettes Image sein, nicht zwingend.

Eine 1:1-Kopie der wichtigen Daten (E-Mails, Texte, Briefe, Fotos etc.) genügt durchaus.

Danach kann man getrost Formatieren / Neuinstallieren.

Etwas mühsam zwar, andererseits auch ganz gut: man installiert nicht erneut wieder nutzlose Programme und Einstellungen .....

wenn ich versuche, winxp neu aufzusetzen, bekomm ich nen blue screen ("pci.sys"(?)), nachdem das setup ein paar dateien geladen hat... ist der rechner jetzt komplett durch? oder kann man irgendwas machen über bios oder booten über externe fp oä? da flippe isch aus %p

Original-CD wird verwendet oder selbst-gebrannte??

Evtl. auch zuviel RAM verbaut?

das winXP ist original.

kann es sein, dass es an einer überfüllten festplatte liegt?


kann ich winXP auf eine angesteckte externe installieren und von dort booten?