Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

KillAll::
Rootkit::
C:\Windows\system32\consrv.dll
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ok, hier ist die LOG:

Ok, mach bitte erneut einen Durchgang mit aswMBR

jetzt hab ich gedacht, das ist weg?! Seit 1 1/2 Tage hat Facebook nix mehr verschickt und jetzt plötzlich wieder
Die Log kommt gleich.

hier die Log:

desweitern ist mein PC gerade abgestürtzt, nachdem für weniger als eine Sekunde ein blause Fenster erschien.

Zitat:

16:32:31.616 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen
16:34:17.988 AVAST engine scan C:\Windows\system32\drivers
16:34:32.113 AVAST engine scan C:\Users\S. Brausten
16:40:57.860 File: C:\Users\S. Brausten\M-1-52-5782-8752-5245\winsvc.exe **INFECTED** Win32:VB-ZYB [Trj]

Diese Dateien tauchen da schon wieder auf.
Hast du eine Linux-Live-CD zur Hand? Wenn nicht lad dir am besten Ubuntu herunter, brenn das ISO auf CD und boote davon. Es geht auch jede andere Live-CD.

Verschiebe die oben im Zitat rot fettgdruckte Objekte also

C:\Windows\system32\consrv.dll
C:\Users\S. Brausten\M-1-52-5782-8752-5245

in den Q-Ordner von OTL => C:\_OTL

Hinweis: Unter Linux gibt es keine Laufwerksbuchstaben. Wenn du die Windowspartition C: eingehangen (gemountet) hast, wird sie im Ordner /media zu finden sein. Innerhalb dieses Ordners wird diese Partition in einem Ordner mit dem Namen der Partition zu finden sein, zB /media/C-Laufwerk

Sowas wie C:\_OTL unter Windows wird also als /media/[LaufwerkC]/_OTL unter Linux abgebildet.

Wenn du diese Datei bzw. den Ordner verschieben konntest, bitte wieder Windows starten und ein neues Log mit aswMBR machen

Hi, was genau ist mit dem "Q-Ordner" gemeint?
Wenn ich über Ubuntu den Ordner von OTL öffne, gibts da keinen anderen Ordner mit dem Namen "Q". Wo genau muss ich die Datei dann hin verschieben?
Anderes Problem ist, dass ich den Ordner unter S. Brausten mit dem Namen "M-1-52-5782-8752-5245" nicht finden kann.

Zitat:

Hi, was genau ist mit dem "Q-Ordner" gemeint?

Steht doch da!!! "in den Q-Ordner von OTL => C:\_OTL"

Der Q-Ordner von OTL ist C:\_OTL
Q ist einfach nur eine Abkürzung von Quarantäne!

Zitat:

Wo genau muss ich die Datei dann hin verschieben?

Einfach in den Ordner "_OTL" ! Steht alles in der Anleitung oben!

Zitat:

Anderes Problem ist, dass ich den Ordner unter S. Brausten mit dem Namen "M-1-52-5782-8752-5245" nicht finden kann.

Stell den Dateimanager so ein, dass auch alle Dateien angezeigt werden :

also, ich hab hier nochmal eine Log-Datei erstellt mit dem Programm "aswMBR". Ich hoffe, ich hab unter Ubuntu alles richtig gemacht, ich hab vorher auch nochmal einen kompletten Scan von Malwarebytes gemacht.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ok, hier sind die drei LOG-Files. Die erste hier ist von ESET:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-27 12:09:02
# local_time=2011-11-27 01:09:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 3786837 3786837 0 0
# compatibility_mode=5893 16776573 100 94 15146 74025059 0 0
# compatibility_mode=8192 67108863 100 0 9725 9725 0 0
# scanned=21121
# found=0
# cleaned=0
# scan_time=533
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-27 02:52:47
# local_time=2011-11-27 03:52:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 3787417 3787417 0 0
# compatibility_mode=5893 16776573 100 94 15726 74025639 0 0
# compatibility_mode=8192 67108863 100 0 10305 10305 0 0
# scanned=367493
# found=19
# cleaned=0
# scan_time=9778
C:\Users\S. Brausten\AppData\Local\Babylon\Setup\MyBabylonTB.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\Local\Temp\2474540.exe a variant of Win32/Kryptik.WCY trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\Local\Temp\2886587.exe a variant of Win32/Kryptik.WCY trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\747a5e94-5521e174 a variant of Java/Agent.DP trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4f38dec3-59163516 a variant of Java/Agent.DM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\3a87d060-19d6b3a0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader28007.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_for_freemake-video-converter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audacity-portable.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audio-recorder-for-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_bittorrent.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_camstudio(1).exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_camstudio.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_free-screen-to-video.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_free-video-to-ipod-converter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_mp3-quality-modifier.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_music-editor-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_wettercenter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
${Memory} multiple threats 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-04 10:35:19
# local_time=2011-12-04 11:35:19 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 4383418 4383418 0 0
# compatibility_mode=5893 16776574 66 94 394318 74621640 0 0
# compatibility_mode=8192 67108863 100 0 606306 606306 0 0
# scanned=76937
# found=0
# cleaned=0
# scan_time=3131
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-04 03:43:58
# local_time=2011-12-04 04:43:58 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 4388753 4388753 0 0
# compatibility_mode=5893 16776574 66 94 399653 74626975 0 0
# compatibility_mode=8192 67108863 100 0 611641 611641 0 0
# scanned=325025
# found=7
# cleaned=0
# scan_time=16313
C:\Users\S. Brausten\AppData\Local\Babylon\Setup\MyBabylonTB.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader28007.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audacity-portable.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audio-recorder-for-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_bittorrent.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_camstudio.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_music-editor-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I

Den Softonic-Müll bitte löschen! Die Cookies können auch weg.

Zitat:

Datenbank Version: 8251

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

ok, hier die Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8309

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

04.12.2011 21:12:49
mbam-log-2011-12-04 (21-12-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 480608
Laufzeit: 1 Stunde(n), 34 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ok, Rechner wieder soweit im Lot?