XP Security Virus

#1 Hi,ich hab dann wohl was ziemlich blödes gemacht,anhang einer E-mail geöffnet.
Nun hab ich den XP-Security Virus auf dem System.
Kann mir jemand helfen das Teil loszuwerden?

edit:ich hab Ad-Aware und AVG schon rennen lassen.
AVG hat komischerweise nichts erkannt,obwohl ich mich immer darauf verlassen konnte.

edi²:Hm,wenn ich jetzt ein Proggi starten will bekomm ich folgende meldung:

C:\Windows\system32\rundll32.exe
Anwendung nicht gefunden.

wollte einen screen posten,doch kein Proggi funtz,noch nicht einmal Paint.

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Schritt 2

Führe dies im abgesicherten Modus aus!

Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

#3 Wenn ich das richtig verstehe soll ich in den abgesicherten und dann das proggi insten.
In den abgesicherten komm ich aber das Programm lässt sich dort nicht installieren.

oder soll ich es vorher installieren und dann erst in den abgesicherten modus gehn?

edit:Ok,ich bekam es doch zum laufen.
38 Infizierungen wurden entfernt.
XP-Security geht jetzt nicht mehr auf.
wie gehts jetzt weiter?

#4 Wie hast Du es gemacht?

Poste mit bitte das Log von Malwarebytes.

#5 bin mir nicht so sicher,nach zig mal anklicken lief es
ja,hm da stand das das log gespeichert wird,wo finde ich es?

edit:habs.
steh etwas auf dem schlauch heute.

hier:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

21.04.2010 20:21:27
mbam-log-2010-04-21 (20-21-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150763
Laufzeit: 3 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe ngts.vao uvibls) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\SysRestore.dll (Rogue.Ascentive) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\1D.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\1E.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\22.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\MSASCui.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\av.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\ave.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\vma.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\avG\MSASCui.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\avG\av.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\avG\ave.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\Lokale Einstellungen\Temp\avG\vma.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vma.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\steven.graf.DATENSYSTEME\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ave.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\vma.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avG\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avG\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avG\vma.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avG\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.