Hallo,

schöne Auswertung
Die scheinen alle irgendwie unter einer Decke zu stecken,
wie mir scheint. Entferne wie folgt:
* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\jgmd400d.dll
C:\Documents and Settings\Administrator\My Documents\***\Programme\winrar\wrar362d.exe
(bitte den korrekten Pfad erstellen)
C:\WINDOWS\tasks\at1.job
C:\WINDOWS\system32\objsafe.tlb

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Zitat:

System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

Die andere müssten eigentlich zu Smitfraud gehören oder
als Überreste gelten. Sagt dir das was

mfg Cleriker

Hi,
danke für das anschauen des Logs und die Unterstützung!!!
Habe nach der Virusmeldung über Software entfernen von MS winrar vom System gelöscht. da ich es eh sehr selten gebraucht habe.
Daher kann ich jetzt die Zeile ja nicht mehr eingeben.
Soll ich einen neuen e-scan durchführen? auch einen neuen Hijackthis? was noch???
Mittlerweile habe ich combofix, counterspy auch schon auf dem Rechner.
Danke nochmal für die Hilfe!

Ein paar Scans zum Überprüfen wären nicht schlecht:

1. Hijackthis

2. Escan

3. * Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

Hast du noch Probleme?

mfg Cleriker

hi,
anbei die neuen Scans.

Und virustotal hatte ja doch einiges gefunden.
Soll ich die von Virustotal gefährlich eingestuften Dateien einfach Löschen?

hi,
was ich noch vergessen hatte. Smitfraud sagt mir garnichts.

Boa wieso ist das immer noch alles infiziert,
du hast ja gar nichts entfernt. Dein Combolog
sieht auch nicht unbedingt nach einem
Festmal aus.

Zitat:

was ich noch vergessen hatte. Smitfraud sagt mir garnichts.

Ich bin mir zwar nicht sicher, aber ich schick dich
erst mal zu folgender Anleitung
* Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

Nach der Auswertung sehen wir morgen weiter.

mfg Cleriker

@ regen: FirmenRechner?

Hatte Avenger nach den Logfiles gestartet.
Lasse die Files gleich nochmal starten.
Habe folgende mit Avenger gelöscht
C:\WINDOWS\system32\jgmd400d.dll
C:\WINDOWS\tasks\at1.job
C:\WINDOWS\system32\objsafe.tlb

winrar war bereits weg

logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ojrjruva

*******************

Script file located at: \??\C:\jxjqnauv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\jgmd400d.dll deleted successfully.
File C:\WINDOWS\tasks\at1.job deleted successfully.
File C:\WINDOWS\system32\objsafe.tlb deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.