Österreichischer Polizeivirus nicht volsltändig entfernt

[Snack]

Hallo,

ich habe heute den "Polizeivirus" bekommen. Allerdings eine Österreichische Version über die ich nichts spezielles finden konnte.
Im Anhang ein Screenshot davon.

Ich habe versucht ihn nach dieser Anleitung zu entfernen. Beim Shell Schlüssel in der regedit unter dem Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon stand die ganze Zeit explorer.exe.
Der nächste Tipp wäre dann gewesen die explorer.exe auszutauschen, aber dazu konnte ich nichts finden.

Deshalb hab ich einen anderen Tipp befolgt und im abgesicherten Modus mit dem Programm Malewarebytes Anti-Malware eine Suche durchgeführt und dabei einige infizierte Datein gefunden die ich gelöscht habe. Genaueres kann man dem Log am Ende der email entnehmen.

Auf dem PC sind drei Profile. Zwei davon funktionieren nun einwandfrei. Bei dem Profil mit dem ich mir den Virus eingefangen habe ist nicht mehr alles blokiert sondern die Virusmeldung ist nur noch am Hauptbildschirm zu sehen (Ich habe einen Doublescreen). Am Bildschirm daneben kann ich die Desktop-Icons wieder sehen und sofern die Fenster in diesem Bildschirm starten kann ich auch damit arbeiten. Die Taskleiste im Hauptbildschirm ist sichtbar und reagiert auf Mausklicks. Allerdings bleibt das Bild vom Virus immer im Vordergrund.


Was sollte ich nun tun?


Vielen Dank und liebe Grüße,
Philipp







Das ist der Log vom Virenscan:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.23.08

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Philipp :: EG [Administrator]

24.07.2012 16:02:18
mbam-log-2012-07-24 (17-42-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 729314
Laufzeit: 1 Stunde(n), 27 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|compress (IPH.Trojan.Agent.CPN) -> Daten: rundll32 "C:\Users\Philipp\AppData\Local\Temp\fastetsh.dll",CreateProcessNotify -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tsceds (Trojan.Agent) -> Daten: rundll32.exe "C:\Users\Philipp\AppData\Roaming\tsceds.dll",FIsHTMLFileW -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\winxnet.bin (Trojan.SpyEyes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 7
C:\Users\Philipp\AppData\Local\Temp\fastetsh.dll (IPH.Trojan.Agent.CPN) -> Keine Aktion durchgeführt.
C:\Users\Philipp\AppData\Roaming\tsceds.dll (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Philipp\AppData\Local\Temp\~!#56AC.tmp (Trojan.LameShield) -> Keine Aktion durchgeführt.
C:\Users\Ullmann\AppData\Local\Temp\fest0r_ot.exe (Spyware.Zbot.DG) -> Keine Aktion durchgeführt.
C:\Users\Ullmann\AppData\Local\Temp\gagx.ee (Trojan.Agent.3D) -> Keine Aktion durchgeführt.
C:\winxnet.bin\config.bin (Trojan.SpyEyes) -> Keine Aktion durchgeführt.
C:\Users\Ullmann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)

 

[Cybertronic]

Gute Chancen habe ich mit der gebrannten ISO von Kaspersky Rescue Disk 10 gehabt.
Für Windows 7 Systeme habe ich auch das ISO von AVIRA genommen. Es sind Boots-CDs die den PC
nach dem Booten auf Linux-Basis säubern.

http://support.kaspersky.com/de/faq/?qid=207621612

Das gute ist, er kann die Virendefinition nach dem Booten aktualisieren.

 

[Seehawk]

Wenn man mit Viren infiziert ist sollte man Windows neu installieren. Versuch garnicht den zu löschen gibt genug Viren die sich dann halt anders tarnen.

 

[LuzidDream]

Gehe in einen Admin Account und lösche die im Virenscan als infiziert angegebenen Dateien.

Grundsätzlich kannst du dir aber nie 100% sicher sein das der Virus nichts nachgeladen hat und du jetzt ein Rootkit oder ähnliches hast.

Falls du also Onlinebanking oder ähnliches weiterhin auf diesem PC betreiben willst würde ich dir zu einer Neuinstallation raten.

 

[Snack]

Angenommen ich mache jetzt ein Backup von all meinen Daten, installiere Windows neu und lade die Daten wieder drauf. Woher weiß ich, dass ich den Virus nicht mit dem Backup mitkopiert habe?

 

[Seehawk]

Testen, ich weiß ja nicht welche Daten du meinst, soll das ein Windows Backup sein dann kommt der sicher mit, wenn es sich um Dateien handelt kannst du ja dort mit dem AV ansetzen.

 

[KamehamehaX10]

Wenn du keine ausführbaren Dateien backupst, kann der Virus darin auch keinen Code verstecken, der ausgeführt werden kann.

 

[Lunke]

Sichere nur Dateien, wo es extrem unwahrscheinlich wäre, dass sich der Virus dort eingenistet hat. Dazu gehören z.B. Dokumente. Keine ausführbaren Dateien (.exe) sichern!

Die Datensicherung führst du dann nicht unter Windows durch, sondern von einem sauberen Livesystem aus. Eine sehr ausführliche Anleitung findest du hier: http://forum.chip.de/viren-trojaner...ystem-datenrettung-webzugang-etc-1453431.html

Nach der Datensicherung setzt du das System komplett neu auf. Das heißt du löscht alle vorhandenen Partitionen und legt diese wieder neu an. (Das kann man während der Windows-Installation machen)

 

[oldmanhunting]

Evtl. hilft Dir ja dieser Link (unten ist ein Tool zum entfernen).