Antimalware doctor eingefangen - virus entfernen

[PCproblem]

Hallo,

ich bräuchte einmal dringend Hilfe, wie ich den Trojaner Antimalware Doctor von meinem PC bekomme.

Logfile habe ich schon gemacht:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:28:23, on 06.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Wdyqib.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FAMTEJE.EXE
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Users\Tinka\AppData\Local\Temp\Wlh.exe
F:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,
O1 - Hosts: ::1 localhost
O2 - BHO: hotrevenue browser enhancer - {106C6DDA-2257-1CD5-3877-407DF9402912} - C:\Windows\system32\vdbawjizwjj.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SmartAds browser enhancer lxkvkkeq - {307025FA-8B85-43DF-A1D5-DC9EE2E4C2FD} - C:\Windows\system32\lxkvkkeq.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [ezLife] rundll32 "evyiyyjb.dll",,Run
O4 - HKLM\..\Run: [oadujibkbyau] C:\Windows\System32\regsvr32.exe /s "C:\Windows\system32\vdbawjizwjj.dll"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Canaveral] rundll32.exe C:\Windows\system32\sshnas21.dll,BackupReadW
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\Users\Tinka\AppData\Local\Temp\Wlh.exe
O4 - HKCU\..\Run: [gotnewupdate000.exe] C:\Users\Tinka\AppData\Roaming\08D8B62651E06306616DF6716E193CDF\gotnewupdate000.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Antimalware Doctor.lnk = C:\Users\Tinka\AppData\Roaming\08D8B62651E06306616DF6716E193CDF\gotnewupdate000.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: O2FLASH (o2flash) - O2Micro International - C:\Windows\system32\DRIVERS\o2flash.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 6816 bytes

Kann mir jemand helfen? Das wäre echt super.
Vielen Dank!!

 

[ChiefAlex]

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windo ws\system32\sdra64.exe,

O4 - HKCU\..\Run: [Canaveral] rundll32.exe C:\Windows\system32\sshnas21.dll,BackupReadW

Diese Einträge fixen.

Hier kannst du übrigens HiJackTHis!-Logs selbst auswerten 😉 :

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

 

[gotnew]

Doctor entfernen

Den selben Beitrag habe ich schon woanders gepostet:
So, bei meiner Freundin auf dem Notebook hatte sich der Antimalware Doctor eingenistet und Viren angezeigt, die gar nicht vorhanden waren. Kein Programm ließ sich mehr öffnen, selbst der Texteditor nicht mehr. Zwischendurch hat er noch Icons über den Desktop regnen lassen und immer wieder wollte er, dass wir eine Registration kaufen. Man kann ihn ganz einfach entfernen (ich habe dafür allerdings 7 Stunden gebraucht).Nach langem Suchen haben wir ihn gefunden. Die Ordneroptionen hat er gelöscht, so dass wir keinen Zugriff auf die versteckten Dateien hatten. Der Speedcommander auf meinem Stick ließ sich aber öffnen und so fand ich die böse Datei unter c: Dokumente + Einstellungen / Anwendungsdaten in eiem Ordner mit einer langen Zahlenreihe. Darin befinden sich 4 Dateien, u.a. eine die z.T. enimies heißt, skill.dll und eine wichtige namens gotnewupdate000. Dieser Ordner muss gelöscht werden, die gotnew... lässt sich nicht löschen, weil sie sich im System festgesetzt hat. Diese selbe Datei findet man im Taskmanager und dort haben wir sie entfernt. Danach ließ sich die gotnew... dann auch in ihrem Ordner löschen und der Spuk hatte ein Ende.
Unser System war XP Home.
Ich hoffe, ich konnte euch helfen

 

[Snoop12678]

Den selben Beitrag habe ich schon woanders gepostet:
So, bei meiner Freundin auf dem Notebook hatte sich der Antimalware Doctor eingenistet und Viren angezeigt, die gar nicht vorhanden waren. Kein Programm ließ sich mehr öffnen, selbst der Texteditor nicht mehr. Zwischendurch hat er noch Icons über den Desktop regnen lassen und immer wieder wollte er, dass wir eine Registration kaufen. Man kann ihn ganz einfach entfernen (ich habe dafür allerdings 7 Stunden gebraucht).Nach langem Suchen haben wir ihn gefunden. Die Ordneroptionen hat er gelöscht, so dass wir keinen Zugriff auf die versteckten Dateien hatten. Der Speedcommander auf meinem Stick ließ sich aber öffnen und so fand ich die böse Datei unter c: Dokumente + Einstellungen / Anwendungsdaten in eiem Ordner mit einer langen Zahlenreihe. Darin befinden sich 4 Dateien, u.a. eine die z.T. enimies heißt, skill.dll und eine wichtige namens gotnewupdate000. Dieser Ordner muss gelöscht werden, die gotnew... lässt sich nicht löschen, weil sie sich im System festgesetzt hat. Diese selbe Datei findet man im Taskmanager und dort haben wir sie entfernt. Danach ließ sich die gotnew... dann auch in ihrem Ordner löschen und der Spuk hatte ein Ende.
Unser System war XP Home.
Ich hoffe, ich konnte euch helfen

:-D:-D:-D:-D:-D

Vielen, vielen herzlichen Dank... hab mich jetzt extra registriert um mich bei Ihnen bedanken zu können. War wirklich eine Suche und mithilfe von CCleaner und Ihrer Beschreibung sind wir dieses nervtötende, subversive Programm losgeworden. Danke, danke, danke :rulez:

 

[Sala]

Sicherheitshalber bitte noch dies installieren und einen Komplettscan machen.

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

 

[yvonnes]

... so fand ich die böse Datei unter c: Dokumente + Einstellungen / Anwendungsdaten in eiem Ordner mit einer langen Zahlenreihe. Darin befinden sich 4 Dateien, u.a. eine die z.T. enimies heißt, skill.dll und eine wichtige namens gotnewupdate000. Dieser Ordner muss gelöscht werden, die gotnew... lässt sich nicht löschen, weil sie sich im System festgesetzt hat. Diese selbe Datei findet man im Taskmanager und dort haben wir sie entfernt. Danach ließ sich die gotnew... dann auch in ihrem Ordner löschen und der Spuk hatte ein Ende.
Unser System war XP Home.
Ich hoffe, ich konnte euch helfen[/QUOTE]

**************************

Ja, so habe ich es auch gefunden, hoffe, daß das alles so funktioniert, wie beschrieben.
Die Datei hieß bei uns allerdings "NEWSECUREAPP70700.EXE-0E429B1F.PF" !

Vorab schon einmal DANKESCHÖN!

PS: Zum Taskmanager kommt man/Frau mit dem "Affengriff "CTRL+ALT+ENTF! Dort die benannte Datei anklicken und einfach löschen.
Sorry, wenn ich daß hier schreibe, hatte aber in diesem Moment selber ein kleines Blackout und wußte nicht so recht, was der Taskmanager ist. 😕 Peinlich, peinlich.😀