Name der Bedrohung: Exploit: Blackhole Exploid Kit

Wozu erstellst du deswegen einen neues Thread?
Außerdme seh ich kein einziges Logfile von Malwarebytes.

Ich nochmal kurz,

habe noch einmal einen Scan gemacht und folgende Meldung erhalten:

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Vielleicht hilft das ja weiter!?

Hallo,
tut mir Leid, aber ich bin ein totaler Laie im Bereich Computer, auch die se Fremdworte sagen mir nicht viel. ???

Ja dann öffne doch mal Malwarebytes, klick auf den Reiter Logdateien und öffne eins nach dem anderen. Jedes Log hier bitte posten. Und mach dafür nicht wieder einen neuen Strang auf 

Achtung fertig los, hier die erste von vier

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6853

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.06.2011 18:39:05
mbam-log-2011-06-14 (18-39-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 149780
Laufzeit: 7 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.Downloader) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\recycle.bin.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xy\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Nr. 2

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6853

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.06.2011 08:29:23
mbam-log-2011-06-15 (08-29-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150123
Laufzeit: 9 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

nr. 3

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6853

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.06.2011 08:51:05
mbam-log-2011-06-15 (08-51-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150127
Laufzeit: 7 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

Nr. 4

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6853

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.06.2011 16:17:41
mbam-log-2011-06-15 (16-17-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150794
Laufzeit: 13 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

Ich hoffe es hat alles geklappt und ich würde mich wirklich freuen, wenn du mir weiterhelfen kannst.

 

Ich hoffe es hat alles geklappt

Scheinbar wohl nicht

Du solltest die Systemwiederherstellung abschalten, bevor du eine Bereinigung durchführst!!

http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html

Außerdem kannst du anschließend (mit vorübergehend deaktivierter Systemwiederherstellung!!) diesen Eintrag selber manuell löschen:

Start-Ausführen >  regedit  < und ok.
Navigiere zu ->

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Es gibt von Windows hier an dieser Stelle keinen Eintrag mit ->userinit.exe !!

Sollte dort der Wert im rechten Feld wie oben >> userinit.exe << stehen, so lösche diesen!
Auch im linken Feld (Explorer) ist dieser Unter-Schlüssel zu löschen, falls vorhanden!

Nun wandere zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und kontrolliere da rechts den Wert von Shell: Vorgabe: Explorer.exe

Natürlich auch den Wert von Userinit kontrollieren:
Vorgabe: C:\WINDOWS\system32\userinit.exe

Es darf weder nach ->userinit.exe als auch nach ->Explorer.exe noch etwas zusätzlich stehen!!

Editor schließen, Neustart.

Wenn jetzt alles OK ist, die Systemwiederherstellung erneut aktivieren!

tja, dann will ich mich mal an die Arbeit begeben, in der Hoffnung, dass ich alles richtig machen. ???
Ich werde mich dann noch einmal melden, erstmal vielen Dank.

Hallo,
ich weiss, ich nerve, aber die ganze Geschichte hat nichts gebracht.
Mehrmals habe ich versucht, nach der Vorgabe, die  Änderungen durchzuführen, ohne Erfolg.
Mittlerweile muß ich auf meinen Laptop zurückgreifen, da auf dem PC nicht mehr viel geht.
Es hat sich scheinbar auch schon einer auf meiner ebay-Seite breitgemacht, es sei denn es ist ein reiner Zufall.
Ich glaube es bleibt mir nichts anderes übrig, als möglichst viel von den Bildern usw. zu retten und mir dann einen neuen PC zuzulegen.
Gruß Achim und nochmals vielen Dank

Lesen und versuchen:

http://scareware.de/2010/04/boot-cd-virenscanner-kaspersky-rescue-disk-10/

Direktlink:

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

Die CD muss als ISO-Image bootfähig gebrannt werden, NICHT als Daten-CD!!

Hallo,
ein Versuch ist es in jedem Fall wert, vielen Dank.
Ich melde mich dann nochmal.

Guten Morgen,
hat scheinbar alles keinen Erfolg, ich denke, ich gebe am besten auf.
Für die Hilfe und Mühe nochmals vielen Dank

Ein neuer Pc wird das grundproblem nicht beheben.
Eine saubere neuinstalation wird bei anschließender absicherung schon eher helfen.
Eine datenrettung kann mit der kaspersky cd erfolgen.

Das nächste Problem ist, dass ich nicht mehr die XP-CD habe, nur den Key-Code.

Auch das stell kein problem dar.
die lizenz genügt,der rest findet sich.

ja, aber ich brauche doch die CD zur Interlation, oder?

Sicher.
Sie haben post...

Ich nochmal,
jetzt schein alles still zustehen.
Ich habe versucht eine Systemwiederherstellung durchzuführen, danach fährt der PC hoch und gleich wieder runter und das durchgehend. Jetzt habe ich versucht den PC mit einer Notfall-CD zu starten, er zeigt sie mir zwar an, aber die Tastatur reagiert nicht.
Vielleicht hat ja noch einer einen Tip?

 

er zeigt sie mir zwar an, aber die Tastatur reagiert nicht.

USB-Tastatur? Falls ja, eine herkömmliche PS/2-Tastatur (runder lilafarbener Stecker) versuchen.

Falls kein solcher Anschluss dafür vorhanden ist, muss man im BIOS den USB-Legacy-Support ermöglichen.