First, I'm posting this for p2.
He can't post currently coz he got virus problems
Spoiler For original skype-conversation:
[12:34:09] p2: Ich hatte de bundestrojaner
hab dann mit CTRL+ALT+DEL ins Menü, und dann BenutzerWechseln
dann blieb alles hängen und ich hab notaus!
[12:34:20] p2: danach isch nixmehr gwese!
(lies sich normal anschalten und so
[12:34:42] p2: au keine neuen/verdächtigen prozesse im taskmanager!
[12:34:50] Sorunome: O.o
[12:35:14] p2: ich hab dem frieden nich getraut und jetzt mal nen bot gmacht, der ALLE prozesse aufli´stet, also selbst die versteckten vom system selber!
[12:35:22] p2: dan hatte ich dann die:
[12:36:25] p2: LifeTray.exe
LifeEnC2.exe
FABS.exe
SearchProtocollHost.exe
SearchFilterHost.exe
MouClient_FD2_1001RL.exe
WUDFHost.exe
[12:36:36] Sorunome:
[12:36:40] Sorunome: kp was die tuen
[12:36:45] Sorunome: sehen aber nicht nach systema us
[12:37:02] p2: ich hab dann alle mittels nem bot beendet!
[12:37:12] p2: aber der FABS.exe war immer wieder da!
[12:37:37] p2: ich hab des beenden von dem prozess als WWhile-scheife laufen lassen (mit adminrechten)
aber er ging nich weg!
[12:38:39] Sorunome: O.o
[12:38:41] p2: 5min später kam dann auch de Virenschutz und hat entdeckt:
C:\Users\daniel\AppData\Local\Temp\deo0_sar.exe
hat gsagt,m da ischn virus drin!
[12:38:47] p2: löschen unmöglich!
[12:38:54] Sorunome: das ist schlimm
[12:38:55] p2: ich habs dann manuell entgültig gelöscht!
[12:38:59] p2: war aber immernoch da!
[12:39:30] p2: also hab ich nen zweiten bot gmacht, der des ding per while-schleife und mit admin-rechten dauernd entgültig löschjt!
[12:39:42] p2: dann liefen also beide bots parallel
[12:40:12] p2: jetzt grad erst wars dann endlich rum!
de trojaner war zu angsam - programm gelöscht und prozess beendet!
[12:40:24] p2: ich lass die bots aber grad lieber doch noch weiterlaufen!
[12:40:49] p2: ich hab jetzt aufm anderen pc (laptop) nach anleitungen gsucht, den bundestrojaner zu entfernen!
[12:40:58] p2: und da hieses, ich soll in de registrry suchen!
[12:41:04] p2:
http://board.raidrush.ws/showthread.php?t=807796[12:41:19] p2: aber da war NIX!!
keine versächtigen sachen!
[12:41:35] p2: frag bitte mal, ob ich noch iwas machen soll, oder ober jetzt echt weg isch
[12:41:48] p2: (ich hab inet sofort ausgsteckt am pc - er is grad offline
[12:43:14] p2: schnelluntersuchung mit Kaspersky sagt, alles Ok!
ich lass grad vollständige untersuchung laufen!
[12:44:07] p2: WICHTIG:
ich hatte nen usb mit wichtigen daten eingsteckt, darf ich den weiterhin verwenden??
[12:34:09] p2: I got the 'bundestrojaner'
went with CTRL+ALT+DEL into the menu, klicked then change user
everything froze and so i took away energy supply!
[12:34:20] p2: then there was nothing!
(you could turn it on normaly etc.)
[12:34:42] p2: also no new suspicious tasks in taskmanager!
[12:34:50] Sorunome: O.o
[12:35:14] p2: i couldn't believe that it was finished so I made a bot, which lists all tasks, even those that are hidden from the system itself!
[12:35:22] p2: Then I had these tasks:
[12:36:25] p2: LifeTray.exe
LifeEnC2.exe
FABS.exe
SearchProtocollHost.exe
SearchFilterHost.exe
MouClient_FD2_1001RL.exe
WUDFHost.exe
[12:36:36] Sorunome:
[12:36:40] Sorunome: no idea what they do
[12:36:45] Sorunome: but they don't look like system tasks
[12:37:02] p2: I killed all via a bot!
[12:37:12] p2: but FABS.exe was always again and again there!
[12:37:37] p2: I killed that task in a while-loop (with admin rights)
But it didn't vanish!
[12:38:39] Sorunome: O.o
[12:38:41] p2: 5min later the virusscanner found:
C:\Users\daniel\AppData\Local\Temp\deo0_sar.exe
it said that there was a virus!
[12:38:47] p2: deleting impossible!
[12:38:54] Sorunome: that's bad
[12:38:55] p2: I deleted it manually completly!
[12:38:59] p2: was still there!
[12:39:30] p2: so i made a second bot that deleted that completley (with admin rights) in a while loop!
[12:39:42] p2: so both bots ran at the same time
[12:40:12] p2: finally it just finished!
the trojaner was to slow - programm deleted and task closed!
[12:40:24] p2: i'm still running the bots, i think it's better!
[12:40:49] p2: I searched now on a laptop for a instruction to remove the 'bundestrojaner'!
[12:40:58] p2: it sais, that I must search in the registry.
[12:41:04] p2:
http://board.raidrush.ws/showthread.php?t=807796[12:41:19] p2: but there was nothing, nothing suspicious!
[12:41:35] p2: please ask, if it is completely gone or if i still have to do something
[12:41:48] p2: (i unpluged lan as quick as possible of the pc - it is now offline)
[12:43:14] p2: quick investigation with Kaspersky said, everything Ok!
ATM I'm running a full invastigation!
[12:44:07] p2: IMPORTANT:
I had a USB-stick with important data plugged into the pc, may I still use it?
Attachment is the prozess list - remember that it was in a while-loop, and always at '[System Process]' it starts again
