Hallo Bertrand, ich bräuchte mal wieder deine Hilfe!

Ich habe mir, wie auch immer, Antimailware Doctor eingefangen. Ich bin wie hier beschrieben vorgegangen:

http://www.trojaner-board.de/83172-anti ... ernen.html

Habe mir das Tool rkill.com und auch schon mal umbenannt in iExplore.exe besorgt und ausgeführt. Meine letzten Einträge waren:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fischi on 01.05.2010 at 13:44:51.


Processes terminated by Rkill or while it was running:


C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\Fischi\Desktop\rkill.com


Rkill completed on 01.05.2010 at 13:45:00.

Dann habe ich einen vollständigen Scan mit Malwarebytes Anti-Mailware durchgeführt, wo auch etliche Einträge gefunden und entfernt wurden. Dann habe ich noch zusätzlich mit meiner Sicherheitssoftware McAfee einen Vollscan durchgeführt, wo noch ein Eintrag gefunden und entfernt wurde. Hatte auch schon mal Malwarebytes umbenannt in Herbert.exe.

Wenn ich aber nun meinen PC jeweils immer neu starte, habe ich auf meinem Desktop ein Hinweis von Mailware Doctor, siehe den beigefügten Screenshot. Ich muss dann immer wieder rkill.com ausführen um den Schrott vom Desktop zu entfernen, bzw. laufende Prozesse von Antimailware Doctor zu beenden! Des weiteren öffnen sich von Zeit zu Zeit immer neue Fenster im FF mit Schrottreklame.

Ich hoffe du wirst mir helfen können, ohne mich im Trojanerbord (siehe oben) anmelden zu müssen, bzw. meinen PC neu zu formatieren!

Bedanke mich auf diesem Wege schon mal und wenn du etwas schreiben solltest. mache es für einen "älteren" Herren verstandlich.

LG Wolfgang

Beim Start meines PC heute Morgen hatte ich wieder den Hinweis von Antimailware Doctor auf dem Desktop (siehe Bild in der 1. Mail) und nach Ausführung von "rkill.log" waren diese Einträge vorhanden:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fischi on 02.05.2010 at 6:23:18.

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YF7v8yyQ.exe
C:\Dokumente und Einstellungen\Fischi\Desktop\iExplore.exe.com

Rkill completed on 02.05.2010 at 6:23:30.

Dieser Eintrag ist noch von rkill.log, den ich umbenannt und auf dem Desktop abspeichern hatte:

C:\Dokumente und Einstellungen\Fischi\Desktop\iExplore.exe.com

LG Wolfgang

Hi Bertrand hier die Fortsetzung!

Ich hatte dann die beiden Einträge:

C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YF7v8yyQ.exe

unter Start --> Ausführen --> regedit32 --> Bearbeiten --> Suchen gefunden und gelöscht. Hatte dann meinen PC wieder neu
gestartet und dann einen neuen Hinweis (siehe Screenshot) auf dem Desktop vorgefunden und ein neuer Log ergab diese Einträge:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fischi on 02.05.2010 at 7:07:27.

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\Fischi\Desktop\iExplore.exe.com

Rkill completed on 02.05.2010 at 7:07:36.

Diesen Eintrag "gotnewupdate000" habe ich dann wieder wie o.a. entfernt und einen Neustart gemacht, der dann wieder
folgende Einträge ergab

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fischi on 02.05.2010 at 7:24:10.

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\Fischi\Desktop\iExplore.exe.com

Rkill completed on 02.05.2010 at 7:24:18.

Diemal hatte ich einen anderen Hinweis (siehe Anlage) und auch wie immer, in meiner Startleiste unten rechts (siehe Anlage)
ein Zeichen mit dem weißen Kreuz. Hatte wieder einen Neustart gemacht, der dann wieder folgende Einträge hatte:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Fischi on 02.05.2010 at 7:52:03.

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Fischi\Anwendungsdaten\470035BE0FEFC85CEEA2174A68F02CD4\gotnewupdate000.exe
C:\Dokumente und Einstellungen\Fischi\Desktop\iExplore.exe.com
C:\WINDOWS\System32\imapi.exe

Rkill completed on 02.05.2010 at 7:52:25.

Hatte dann den Hinweis wie in meiner ersten Mail mit der Anlage als Bild. Wieder das Tool "Rkill" ausgeführt um den Mist wegzubekommen.
Popup hatte ich über den FF auch wieder zwischenzeitlich. Ich werde dir mal mein HijackThis Posten. Bekomme aber zurzeit nichts gepostet, es immer angezeigt:

Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde. Ich sende dir die Hijack Daten mal in einer separaten Mail. Ich weiß nicht, warum es hier nicht funzt.

Hallo Fischi,

das sieht ja alles andere als gut aus.
Tut mir leid, dass ich erst jetzt antworte, ich habe ziemlich viel Stress mit der Arbeit und erst in 2 Wochen einen Lichtblick.

Spontan würde ich sagen, das einfachste ist es, ein Live-Betriebssystem zu verwenden, das von CD läuft und von dort die Festplatte putzen zu lassen. Ein mir bekanntes System ist "Knoppicillin", ein umgebautes Knoppix-Linux mit mehreren Antivirenprogrammen.

http://www.heise.de/software/download/k ... tion/37894

Hier kannst du eine Datei herunterladen, die auf .iso endet. Brenne damit eine CD oder DVD wie wie hier beschrieben.

Davon kannst du dann den Computer starten, unter der Voraussetzung, dass das BIOS so eingestellt ist, dass er zuerst von DVD startet. Wenn das nicht der Fall ist, lass mich wissen, welches BIOS dein PC hat. Am Wochenende oder morgen kann ich dich anrufen, dann klappt die Suche nach den Einstellungen bestimmt.

Hi Bertrand

Ich hatte meine Festplatte C komplett formatiert, die Hilfe aus einem Trojaner Forum war nicht schlecht. Als ich dann aber das Tool GMER ausführte gem. Anweisung, ging bei meinem PC nichts mehr. Er fuhr immer hoch und runter und blieb meistens stehen bei "Windows normal starten, letzte bekannte Funktion etc. Das einzigste was auch noch ging, war im abgesicherten Modus zu starten, konnte da aber keine Änderungen vornehmen. Hatte dann im Bios die Laufwerkeigenschaft geänder und von meiner Windows CD alles bereinigt (Format C) So hatte ich gleich 2 Fliegen mit einer Klatsche erwischt, denn Adobe Reader funzt auch wieder.

Habe dir mal die Themen aus den Trojaner Forum hier beigefügt_

http://www.trojaner-board.de/85654-auch-mich-hat-es-erwischt-antimailware-doctor.html

Gruss Wolfgang

Nun ja, es ist schon fast "schade" dass die wertvolle Arbeit der Moderatoren im TB letzendlich vergebens war, aber jetzt hast du ja wieder eine frische Windows-Installation.

Hast du eigentlich ein Programm, mit dem du Komplettsicherungen von Windows erstellen kannst? Ich denke da zum Beispiel an True Image.

Moin

Nee, habe ich nicht und wie sollte das denn funktionieren bei Windows XP Home?

Gruss

Bei True Image funktioniert das so, dass man den Computer von der TI-CD startet. Da läuft ein kleines Linux mit Backup-Software, die komplette Festplatten kopieren kann.
Ich setze es nur ein, wenn ich Festplatten tauschen will, aber als Backupwerkzeug ist es auch gut.

Es gibt noch eine Windows-Software, die bei laufendem Windows im Hintergrund sichern soll, ob man im Notfall aber ein lauffähiges Windows wiederherstellen kann, weiß ich nicht.

Um ganz sicher zu sein müsste man regelmäßig (etwa alle 3 Monate) ein Festplattenabbild ziehen und wöchentlich die persönlichen Dateien getrennt sichern - so mach ich das, nur mit der Windows-eigenen Sicherung, die leider erst seit Vista dabei ist.

True Image kostet ca. 25 Euro. Auf eBay sicherlich günstiger zu haben.