Im Ui Ordner sind bloß Windows Bytemap Dateien drin von der Grafik von meinem Garfikkartentool Gainward.
Virustotal hat bei der angegeben Datei 0 befund.
Avereng führe ich gleich aus und poste logfile.

Avenger kann wieder nichts machen.
Gleich Fehlermeldung wie vorhin.
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Und im Ordner ist auch keine logfile drin.Klar eigentlich wenn er keine Aktion ausführen konnte.

Die Dateien :
:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\bbxjfslh.ini
C:\WINDOWS\system32\ggwaarmm.ini
C:\WINDOWS\system32\cpgnpjas.ini
existeiren anscheinend nicht mehr.Habe slebst mal danach geschaut im Verzeichniss.
Die Datei :
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
war noch vorhanden.Habe ich per Hand gelöscht.
Auch diese per Hand gelöscht :
C:\WINDOWS\Media\F1100warxy99.dll
Und diese:
C:\WINDOWS\HideWin.exe
So nun müsten sie ja alle weg sein oder bin ich da falsch?

So bin aber dann nun auch mal offlin fürs erste.
Muss morgen früh raus.
Danke mal bis dahin.
Falls es noch etwas geben sollte schaue ich auf jeden Fall morgen abend so gegen 18 Uhr hier wieder rein und mache weiter.
Nebenbei noch eine Frage.
E-scan hat doch etwas von einem Wurm gesagt( Possible Fujacks-type Worm).
Iss das ein Fehlscann?
Des weiteren fehlerhafte Registry Einträge.
Kann man die durch ein Prog fixen lassen?
Danke für deine Mühe bis hier her.
Gute Nacht.

So guten Abend!Also bisher habe ich keine problem mehr mit dem System.
Was das von mir angegeben löschen der Dateien an geht so sind auch so weit ich es sehen kann alle verschwunden bis auf eine die wieder unter anderem Namen auf getaucht ist.
Habe sie mal bei Virustotal druchlaufen lassen und bekam folgendes Ergebniss:

Datei 39394warxy23.wav empfangen 2007.12.10 21:43:25 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.10.1 2007.12.10 -
AntiVir 7.6.0.40 2007.12.10 -
Authentium 4.93.8 2007.12.10 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 -
BitDefender 7.2 2007.12.10 -
CAT-QuickHeal 9.00 2007.12.10 -
ClamAV 0.91.2 2007.12.10 -
DrWeb 4.44.0.09170 2007.12.10 -
eSafe 7.0.15.0 2007.12.10 -
eTrust-Vet 31.3.5366 2007.12.10 -
Ewido 4.0 2007.12.10 -
FileAdvisor 1 2007.12.10 -
Fortinet 3.14.0.0 2007.12.10 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.10 -
Ikarus T3.1.1.12 2007.12.10 -
Kaspersky 7.0.0.125 2007.12.10 -
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.10 -
NOD32v2 2714 2007.12.10 -
Norman 5.80.02 2007.12.10 -
Panda 9.0.0.4 2007.12.10 -
Prevx1 V2 2007.12.10 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.10 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.10 -
TheHacker 6.2.9.154 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 -
VirusBuster 4.3.26:9 2007.12.10 -
Webwasher-Gateway 6.6.2 2007.12.10 -
weitere Informationen
File size: 4212 bytes
MD5: e8ff74fe675775541de581aa6241ae17
SHA1: 7c2515dffea3cab523e232af4826dba61e035d9f
PEiD: -
Da leider bei mir das Tool :Avenger immer noch nicht laufen will wollte ich nun wissen ob es unbedingt notwendig ist diese oben genannte Datei zu entfernen bzw. ob es noch alternativen zu diesem Programm Avenger gibt um das zu machen.
Warte nun mal gespannt auf deine Antwort.
Danke!

Zitat:

Da leider bei mir das Tool :Avenger immer noch nicht laufen will wollte ich nun wissen ob es unbedingt notwendig ist diese oben genannte Datei zu entfernen bzw. ob es noch alternativen zu diesem Programm Avenger gibt um das zu machen.

Warum der Avenger bei dirnicht will weiß ich nicht Aber wenn du die Dateien so löschen konntest isses okay. Der Avenger ist nur dafür gedacht, dass man "geschützte" Dateien löschen kann, also eben auch Dateien die sich im laufenden Windows eben nicht löschen lassen wollen. Dafür gibts zur Not aber auch noch Killbox oder evtl. das Programm Unlocker.

Hast du schon das Filelisting gemacht?

Hier das aktuelle Filelisting.
Komischerweiße sind die Dateien wieder auf getaucht. Vieleicht im Autostart mit drin?
File-Upload.net - Ihr kostenloser File Hoster!

Zitat:

Komischerweiße sind die Dateien wieder auf getaucht. Vieleicht im Autostart mit drin?

Du hast bei dieser rel. neuartigen Malware "komische" Effekte - es gibt wenn du so willst, mehrere Dateien zu einem Autostarteintrag, daher sollte man auf einem Schlag möglichst alle Malwaredateien erwischen (also löschen) um so Wiederaufstehungen zu vermeiden. Wird eine Datei wieder nur gestartet, werden wieder neue in anderen Orten erstellt, um es dem Schädlingsbekämpfer so schwer wie möglich machen - das macht es so schwierig ein System zu bereinigen. Deswegen und aus anderen Gründen (die ich hier jetzt nicht nennen will, wäre zuviel) hat man nur nach einem Neuaufsetzen die Garantie, alles sauber zu haben.

Mach mal bitte nen Check mit Blacklight - mir schwant übles.

Werte auch mal die Datei C:\WINDOWS\system32\drivers\tgxycltv.sys bei Virustotal aus und poste die Ergebnisse.

Blacklight: ( ohne Befund )
12/11/07 20:30:22 [Info]: BlackLight Engine 1.0.67 initialized
12/11/07 20:30:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/11/07 20:30:22 [Note]: 7019 4
12/11/07 20:30:22 [Note]: 7005 0
12/11/07 20:30:28 [Note]: 7006 0
12/11/07 20:30:28 [Note]: 7011 300
12/11/07 20:30:28 [Note]: 7026 0
12/11/07 20:30:28 [Note]: 7026 0
12/11/07 20:30:29 [Note]: FSRAW library version 1.7.1024
12/11/07 20:33:47 [Note]: 7007 0

Datei C:\WINDOWS\system32\drivers\tgxycltv.sys
bei Virustotal ohne befund!
Auserdem habe ich mal ein bisschen Suche in der registry gemacht.
Habe mal die Datei : F1100warxy99.dll gesucht und auch gefunden zusammen mit den anderen.
Pfad : HKEY_USER\S-1-5-21-1960408961-606747145-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5604
Sind alles Binärdateien.
Typ Reg_SZ
Hatte übrigens alle diese Dateien die ich gelöscht habe und die wieder aufgetreten sind durch Virustotal scannen lassen.
Waren alle "ohen Befund"!
Sieht nach Blacklightscan ja so aus als währe zumindest kein Backdoor auf meinem Rechner.
Das andere könnte Spy oder Addeware sein.
Bin mal gespannt was du dazu sagst.

Zitat:

Datei C:\WINDOWS\system32\drivers\tgxycltv.sys
bei Virustotal ohne befund!

Das ist sehr merkwürdig, denn der Dateiname führt bei Google zu keinem Fund!
Ich würde an deiner Stelle dir Datei erstmal zumindest in Quaräntäne stellen, ein umbenennen in tgxycltv.sys.vir sollte da erstmal schon reichen.

Zitat:

Sieht nach Blacklightscan ja so aus als währe zumindest kein Backdoor auf meinem Rechner.

Jo, sieht so aus

Mit dem Avenger hätte ich noch ne Idee. Starte mal regedit.exe (in Start, Ausführen eingeben) und navigiere zu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Schau rechts nach, ob dort der Wert Enabled existiert und wenn ja ob er auch den Wert 1 hat.

So!*g*
Der Registrypfad steht auf 1 als auf an.
Falls Avenger aber nicht funzen sollte was es ja bisher noch nicht macht sollten wir vieleicht mal ein anderes Tool ausprobieren um die Dateien zu löschen oder?
Mir ist heute auf der Arbeit was ein gefallen und zwar dachte ich wegen meinem Problem das es vieleicht damit zusammen hängt das die Systehmwiederherstellung ja an ist.Die wurde ja von Combofix nach dem neu booten wieder an gestellt.Falls danach diese Sachen ja noch auf dem Rechner waren könnten sie sich ja auch in die Wiederherstellungsdatei eingenißtet haben.Daher mal mein Vorschlag.
Systehmwiederherstellung aus.
Combofix starten durchlaufen lassen und neu starten.
Währe vieleicht eine Lösung oder?Im übrigen wird beim Systehmstart im Dos Fenster gemotzt das die Combobatch.bat Datei nicht auffindbar ist oder falsch geschrieben sei. Iss doch die Datei von Combofix oder?Wie kann ich diese Fehlermeldung beheben?
Oder könnten diese Dateien auch von einem Tool stammen das ich benutzt habe um Virtumonde zu entfernen?
Habe das Tool Catchme auf meinem Rechner gefunden.
Soll ja soweit ich bei Google mal nach geschaut habe seit neustem auch im Combofixtool dabei sein.
Iss schon komisch das keine der Dateien bei Virustotal einen Ausschlag gibt. Aber solange ich nicht gestöhrt werde und auch nicht übernommen werde denke ich können wir weiter machen (vorrausgesetzt du willst herausfinden was es ist und hast noch Lust dazu).
Bemerke auch keine überhöhte Systehmauslastung oder Netzwerkaktivitäten.
Es muss ja irgendwo der Grund für diese Dateien da sein.
Spybot findet nichts, On Care findet nichts, Kaspersky findet nichts.
Sollte es sich als um sehr bösartige Viren oder so handeln müsten die ja an schlagen bzw. wenigstens eins dieser Progs.
Wobei ich bei dieser Sache auch scnnell mal nach fragen wollte was du von Kaspersky 7.0 hälst da ich evtl. mir die Vollversion holen wollte.
Währe es entfehlendswert oder eher nicht?
Von Windof One Care halte ich hingegen nicht so viel obwohl es mir Virtumonde ja als einziges an gezeigt hat.
Was meinst du dazu?
Des weiteren noch etwa was ich schnell mal mitteilen wollte.
In meiner One Care Firewall steht ein Eintrag von wegen " Eine DLL als Anwendung aus führen" Version 5.1.2600.2180.
Habe es mal vorsichtshalber blockiert. Sollte man das wieder frei geben oder eher nicht?