Sooo hab erstmal über den ganzen Tag nochmal Scans durchlaufen lassen ich Poste nochmal alle Logs, da die relativ viel gefunden haben...
Wenn der letzte Schritt dann immernoch nötig ist werde ich den dann bei Bedarf auch noch machen

Kein Wunder, da ist anscheinend noh ein Rootkit aktiv gewesen was ich vorher nicht aus den Logs heraus gesehen habe

Mach nochmal bitte einen neuen Duchgang mit Combofix, die combofix.exe bitte neu runterladen!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix funktioniert nicht.
Ich habe es runter geladen und vom Desktop aus gestartet.
Dann habe ich bestätigt, dass das Programm auf meinen PC zugreifen darf und das normale Fenster hat sich geöffnet.
Dort wurde Dekomprimiert etc. bis es dann fertig war sich schloss und nichts weiter passierte...

Dann mach bitte den Scan mit der AntiVir Rescue Disc

Scan erfolgreich ausgeführt
Mir wurde jedoch in der Umgebung selber gesagt, dass kein Update möglich ist, da keine Internetverbindung hergestellt werden konnte.
Bitte mach das es aufhört ich will meine Ruhe^^

Code: Alles auswählenAufklappen

ATTFilter

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set:         8.2.10.62
VDF Version:        7.11.29.132
Scan start time: Sat May 19 16:51:33 2012
configuration file: /etc/avira/scancl.conf
WARNING: [Bad compressed data] /media/Devices/sda2/Program Files (x86)/Elaborate Bytes/VirtualCloneDrive/vcd-uninst.exe


WARNING: [Archive is invalid or corrupt] /media/Devices/sda2/Program Files/WinRAR/rarnew.dat


ALERT: [TR/PSW.Zbot.1730] /media/Devices/sda2/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{559139DA-2F01-3D6F-47F6-8EFB280B3E17}-erby.exe <<< Is the Trojan horse TR/PSW.Zbot.1730 [archive scan abort]


[renamed]
ALERT: [TR/Spy.ZBot.dsxt] /media/Devices/sda2/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{9087612D-3757-C287-26EE-459836DE6D98}-ipup.exe <<< Is the Trojan horse TR/Spy.ZBot.dsxt [archive scan abort]


[renamed]
ALERT: [TR/Spy.ZBot.dsxt] /media/Devices/sda2/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{C0ACFE79-0C54-5E5E-4399-56E4AE3A5052}-ipup.exe <<< Is the Trojan horse TR/Spy.ZBot.dsxt [archive scan abort]


[renamed]
ALERT: [TR/Spy.ZBot.dsxt] /media/Devices/sda2/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{C3D6DC6C-ABC3-6C40-5F6E-0639B37E72A6}-ipup.exe <<< Is the Trojan horse TR/Spy.ZBot.dsxt [archive scan abort]


[renamed]
ALERT: [TR/Spy.ZBot.dsxt] /media/Devices/sda2/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{D5E0FEE0-02E1-1936-7B59-E3AFB43638D2}-ipup.exe <<< Is the Trojan horse TR/Spy.ZBot.dsxt [archive scan abort]


[renamed]
WARNING: [Unexpected end of file] /media/Devices/sda2/ProgramData/Razer/Synapse/ProductUpdates/Uninstallers/RazerCommonConfig/RazerCommonConfig_Uninstaller.exe


WARNING: [Unexpected end of file] /media/Devices/sda2/ProgramData/Razer/Synapse/ProductUpdates/Uninstallers/RazerNagaHexConfig/RazerNagaHexConfig_Uninstaller.exe


WARNING: [File is encrypted] /media/Devices/sda2/ProgramData/Spybot - Search & Destroy/Recovery/FraudDefenseCenter.zip


WARNING: [File is encrypted] /media/Devices/sda2/ProgramData/Spybot - Search & Destroy/Recovery/WinMuollo.zip


WARNING: [File is encrypted] /media/Devices/sda2/ProgramData/Spybot - Search & Destroy/Recovery/WinMuollo1.zip


ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/assembly/GAC_32/Desktop.ini <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed]


ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/assembly/GAC_64/Desktop.ini <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed]


ALERT: [TR/Crypt.XPACK.Gen8] /media/Devices/sda2/Windows/Installer/{907a9fbf-42fe-9fb0-5339-afc9f34389e0}/U/80000000.@ <<< Is the Trojan horse TR/Crypt.XPACK.Gen8 [renamed]


ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/Installer/{907a9fbf-42fe-9fb0-5339-afc9f34389e0}/U/80000032.@ <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed]


ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/Installer/{907a9fbf-42fe-9fb0-5339-afc9f34389e0}/U/80000064.@ <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed]


Statistics :
Directories............... : 32613
Archives.................. : 3806
Files..................... : 760360
Infected.............. : 10
Renamed........... : 10
Warnings.............. : 7
Suspicious............ : 0
Infections................ : 10
         

Ist die ping.exe immer noch am laufen? Wenn ja, ist das Rootkit noch nicht beseitigt
Probier bitte auch nochmal combofix aus

Combofix funktioniert immernoch nicht. Das einzige was er macht ist, dass er einen komischen Ordner bei mir auf der Festplatte erstellt der eine komische Buchstaben und Zahlenkombination hat. (beim ausführen wurde auch Teilweise das Layout auf Win XP oder sowas geändert)
Ping.exe hab ich auch ab und zu mal gesehen aber sie war ned immer da.
Mir sind beim beobachten der Prozesse außerdem noch ins Auge gesprungen:
-svchost.exe die nicht in System32 läuft
-anderes svchost.exe die durchgehend ca. 15% CPU Auslastung verursacht(aber nur eine von mehreren)
-services.exe die auch durchgehend ca. 15% verbraucht
-Die Werbung öffnet sich immernoch regelmäßig
-MSSE geht auch immernoch nicht
-Das Laden von Seiten hat sich auch nicht verbessert 5-10 Sekunden wenn Inet Explorer neu geöffnet wird.
-Die Benutzersteuerung hab ich auch noch nicht hinbekommen.

Mehr fällt mir jetzt grad ned ein^^

Ich fürchte dann haben wir schlechte Karten mit diesem wackligen System
Wenn CF auch nicht im abgesicherten Modus laufen will, dann sollte man lieber über eine Neuinstallation von Windows nachdenken

Nachtrag:

Zitat:

O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe

Jetzt hab ich auch diesen Eintrag gesehen.
Darf man wohl jetzt davon ausgehen, dass du ein gecracktes MS-Office installiert hast, dann wundern mich auch die fiesen Schädlinge auf deinem Rechner nun garnicht mehr

Combofix im abgesicherten Modus hab ich noch garnicht probiert -> mach ich dann mal

und was das Office angeht hab ich keine ahnung ich hab das system so fertig gemacht bekommen und selber nur meine spiele etc. drauf gepackt.

Habs probiert und hat nicht funktioniert -> der erstellt immer den gleichen Ordner bei jedem Start mit immer der gleichen Buchstaben und Zahlenkombination und das Fenster dass eigentlich kommen müsste öffnet sich nicht

Zitat:

und was das Office angeht hab ich keine ahnung ich hab das system so fertig gemacht bekommen

Von wem denn?

Ich habe einen sagen wir mal "Computer-Fritzen"->ein Kumpel von meinem Vater dessen Namen ich natürlich nicht nennen werde und der richtet uns immer alle Systeme ein (Also Hardware/Software alles), der hat aber keine Ahnung von Viren etc. sonst hätte ich mich an den gewandt.
Ja und anscheinend hat der mir das drauf gemacht am anfang kann ich ja ned wissen...

Dann kann ich hiermit nur auf die Neuinstallation verweisen