MS Removal Tool

Quarktasche

Hallo Liebe Helfer!
Ich habe das Gleiche Problem wie alle anderen mit diesem angeblichen, kostenpflichtigen Anti-Viren Programm "MS Removal Tool". Ich habe mir die anderen Foren schon durchgelesen und auch schon dieses HIJACK dingens runtergeladen und meinen Vista-PC gescannt. Doch es wurde ja gesagt, dass man diese Analyse ins Forum stellen soll. Darum hab ich jetzt mal ein neues Thema eröffnet um hier meinen Bericht rein zu stellen.
Mfg,
Quarktasche

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:31, on 05.04.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)

Quarktasche

Was muss ich jetzt machen?

markusg

Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Quarktasche

OTL Extras logfile created on: 05.04.2011 11:23:54 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\xxx\Desktop\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19019)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

markusg

wer hatt geschrieben das du malwarebytes nutzen sollst?
nutze nur die von mir genannten programme.
poste das malwarebytes log, öffne dazu malwarebytes und dann logdateien.
machst du onlinebanking /einkäufe oder sonst was wichtiges mit dem pc

Quarktasche

In irgend einem anderen Threat stand, dass man Malwarebytes noch zusätzlich nutzen sollte, habe das nur provisorisch gemacht, aber der suchlauf ist noch nicht beendet. Nein, Online Banking betreibe ich nicht.
Also Suchlauf beenden und log Daten posten?

markusg

aber was in anderen threads steht muss nicht zwangsläufig auf dich zutreffen.
außerdem immer ein programm nach dem andern laufen lassen, wenn du die falschen zusammen laufen lässt zerschießt du dir das system.
was ist mit einkäufen?
ja logs posten nach beendigung

Quarktasche

Tut mit leid
Also wichtige Einkäufe betreibe ich nicht über diesen Computer.

markusg

was heißt wichtige einkäufe... kaufst du ein oder nicht

Quarktasche

Ich habe schon einmal Einkäufe über diesen PC getätigt, also nur bei Amazon.de oder ähnliche.
Hier die log Daten:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6273

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

05.04.2011 12:05:08
mbam-log-2011-04-05 (12-05-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 323657
Laufzeit: 34 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kCp31001jKmOl31001 (Trojan.Downloader) -> Value: kCp31001jKmOl31001 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Recycle.Bin.exe (Trojan.SpyEyes) -> Value: Recycle.Bin.exe -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

markusg

das log ist nicht vollständig, infizierte dateien fehlt.
willst du wieder mit diesem pc einkaufen? dann müssen wir ihn aufgrund des spyeye trojans neu aufsetzen. denn sonst kannst du nie wieder einkäufe mit dem gerät tätigen, da wir nie 100 %ig bei dieser malware garantieren können das das system sauber wird

Quarktasche