Packed.Dialer,Dialer.Trojan(Idd44.tmp.exe;Idd49.tmp.exe;Idd59.tmp.exe)

#46 Chlous

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|ishost.exe

Files to delete:
C:\WINDOWS\system32\ebaupdpd.dll
C:\WINDOWS\system32\hgjkwqgq.dll
C:\WINDOWS\system32\hmtiddro.dll
C:\WINDOWS\system32\drvmem.dll
C:\WINDOWS\system32\opnnkki.dll

Folders to delete:
C:\Programme\Gemeinsame Dateien\{749DF16B-0BB0-1031-1108-050405120029}

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\Manuel\UserData" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

««
poste das log vom HijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Tausend Dank für Deine Hilfe. Werde (leider) erst heute Abend wieder am "Brandherd" sein, dann kann's weitergehen. :-)

#48 poste dann auch das log vom avenger, was nach neustart erscheint + alles andere
__________
MfG Sabina

rund um die PC-Sicherheit

#49 So, da simmer wieder. Sieht gut aus, wirklich. Anbei alle Logs.
lg
Chlous

#50 Avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{013A653B-49A6-4f76-8B68-E4875EA6BA54}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E6C22DE0-F707-4231-B72B-2DA02D431431}
HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Classes\CLSID\{013A653B-49A6-4f76-8B68-E4875EA6BA54}
HKLM\SOFTWARE\Classes\CLSID\{E6C22DE0-F707-4231-B72B-2DA02D431431}

das darf dann nicht mehr im HijackThis auftauchen

Zitat

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\hgjkwqgq.dll (file missing)

O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O2 - BHO: (no name) - {E6C22DE0-F707-4231-B72B-2DA02D431431} - C:\WINDOWS\system32\awvvw.dll (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#51 Ja, die drei Einträge sind weg. Avenger meldete noch, dass er den Reg-Key
HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
nicht gefunden hat und daher nicht löschen konnte. Ist aber nicht weiter schlimm, gell?
(allles andere konnte er ohne weiteres ausführen)

#52 poste das neue log vom HijackThis
+
mache einen Onlinescan mit Trend Micro Anti-Spyware for the Web - lasse alles loeschen, und wenn moeglich, berichte, ob noch etwas gefunden wurde
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#53 Ok, hier das neue HijackThis-Log. Der Online-Scan hatte noch ein Tracking-Cookie entdeckt. Hab's gelöscht.

#54 Chlous

fein, ich denke der Rechner ist als geheilt entlassen
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Tausend dank für die professionelle Hilfe!!!