Hi, habe vor kurzem mit Winzix infiziert, nach anleitung gelöscht, doch habe immer wieder probleme mit IEXPLORER, lässt sich nicht schliessen und tauchen dauernd popups auf in Internet explorer obwohl ich Mozilla benutze.

when ich versuche in taskmanager IEXPLORE.EXE zu beeneden, tauct sofort eine neue IEXPLORE.exe auf.

hier mein HijackThis log

Logfile of HijackThis v1.99.1
Scan saved at 14:11:28, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
E:\Programme\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gigabyte\ET5\GUI.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
e:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
e:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\ScanPanel\ScnPanel.exe
E:\Programme\OpenOffice.org 2.2\program\soffice.exe
E:\Programme\OpenOffice.org 2.2\program\soffice.BIN
E:\Programme\Alwil Software\Avast4\ashMaiSv.exe
E:\Programme\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\uTorrent\utorrent.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
E:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
E:\WINDOWS\explorer.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [EasyTuneV] E:\Programme\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] e:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.2.lnk = E:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ScanPanel.lnk = E:\ScanPanel\ScnPanel.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA239E1F-97E8-4E89-A166-C8938CE9B471}: NameServer = 192.168.1.254
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo cmeptb.


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

Hallo,

combofix ging leider nicht, *keine zulläsige win-32 anwendung

filelist ist hier (E: ist = C

----- Root -----------------------------
Volume in Laufwerk E: hat keine Bezeichnung.

Verzeichnis von E:\

06.01.2008 13:22 2.145.386.496 pagefile.sys
17.12.2007 11:05 529.844 krankenschein2.jpg
11.12.2007 10:08 533.640 krankenschein.jpg
26.10.2007 14:32 59.921 Ausweis.jpg
26.04.2007 11:41 1.201 VundoFix.txt
22.01.2007 22:43 29.864.905 sca4394w9xw2k.exe

Verzeichnis von E:\WINDOWS\system32

06.01.2008 10:39 34.308 BASSMOD.dll
02.01.2008 12:57 2.206 wpa.dbl
10.12.2007 17:24 104.624 FNTCACHE.DAT
29.11.2007 23:30 200.704 ssldivx.dll
29.11.2007 23:30 1.044.480 libdivx.dll
28.10.2007 09:24 400.624 perfh009.dat
28.10.2007 09:24 62.286 perfc009.dat
28.10.2007 09:24 415.124 perfh007.dat
28.10.2007 09:24 965.398 PerfStringBackup.INI
28.10.2007 09:24 74.988 perfc007.dat

Verzeichnis von E:\WINDOWS\Prefetch

06.01.2008 14:32 11.458 CMD.EXE-034B0549.pf
06.01.2008 14:32 148.576 NOTEPAD.EXE-2F2D61E1.pf
06.01.2008 14:30 94.846 IEXPLORE.EXE-360BBB5C.pf
06.01.2008 14:25 95.680 TASKMGR.EXE-06144C13.pf
06.01.2008 14:24 86.128 NMIndexStoreSvr.exe-28939A55.pf
06.01.2008 14:13 106.574 FIREFOX.EXE-28BE8AE1.pf
06.01.2008 13:45 16.270 IMAPI.EXE-201490BB.pf
06.01.2008 13:45 80.012 EXPLORER.EXE-02121B1A.pf
06.01.2008 13:30 159.490 MSIEXEC.EXE-330626DC.pf
06.01.2008 13:28 25.476 MDM.EXE-0CC196E4.pf
06.01.2008 13:26 67.780 UTORRENT.EXE-2069FEB1.pf
06.01.2008 13:24 59.330 RUNDLL32.EXE-548EA94D.pf
06.01.2008 13:23 73.266 DWWIN.EXE-2C373FB7.pf
06.01.2008 13:23 78.060 WUAUCLT.EXE-1360D60A.pf
06.01.2008 13:23 8.642 CVTRES.EXE-1404C725.pf
06.01.2008 13:23 34.894 CSC.EXE-08AD7008.pf
06.01.2008 13:23 1.304.310 NTOSBOOT-B00DFAAD.pf
06.01.2008 12:59 120.912 WMIPRVSE.EXE-0D449B4F.pf
06.01.2008 12:11 73.200 WOW.EXE-02CAE308.pf
06.01.2008 12:11 108.636 LAUNCHER.EXE-011153CC.pf
06.01.2008 12:10 128.514 DUMPREP.EXE-0AF2BF67.pf
06.01.2008 10:38 25.316 ASHQUICK.EXE-1F59BB34.pf
06.01.2008 10:32 25.710 WORDPAD.EXE-159A81F2.pf
06.01.2008 09:07 30.906 RUNDLL32.EXE-71C8A733.pf
06.01.2008 09:07 27.610 CONTROL.EXE-24FBF8B3.pf
06.01.2008 09:07 25.638 SETUP.OVR-08991C69.pf
06.01.2008 04:27 49.676 LOGONUI.EXE-312BE1BF.pf
06.01.2008 04:27 12.272 WSCNTFY.EXE-0B14C27D.pf
06.01.2008 04:23 20.986 RUNDLL32.EXE-4E528753.pf
06.01.2008 04:22 38.030 DIVXSM.EXE-052AE590.pf
06.01.2008 04:21 70.256 LASTFM.EXE-36CB1FE2.pf
06.01.2008 04:21 138.336 WINAMP.EXE-065B55C4.pf
06.01.2008 03:26 82.600 AVAST.SETUP-29BC64D0.pf
05.01.2008 19:57 21.766 VENTRILO 2.1.4.EXE-39B33F0F.pf
05.01.2008 19:57 43.418 VENTRILOMIX.EXE-32DBDBB3.pf
05.01.2008 13:58 14.036 MINIME.EXE-1F5BC90A.pf
05.01.2008 13:58 20.006 WINZIX-2.3.0.0.EXE-34E35E55.pf
05.01.2008 13:44 14.316 BRVQKYSM.EXE-101F4F18.pf
05.01.2008 13:44 13.874 BISA.EXE-1633EA9A.pf
05.01.2008 13:43 20.808 IS-TVLHG.TMP-01E47661.pf
05.01.2008 13:42 96.300 VLC.EXE-2584CE07.pf
05.01.2008 13:42 31.656 RUNDLL32.EXE-5490BC7C.pf
05.01.2008 13:41 120.026 WINRAR.EXE-1A0EFB18.pf
05.01.2008 12:31 75.562 SOFFICE.BIN-046CB81B.pf
05.01.2008 12:31 97.234 CCC.EXE-2F3357A9.pf
05.01.2008 12:31 9.716 READER_SL.EXE-2A604B5A.pf
05.01.2008 12:31 18.874 NMBGMONITOR.EXE-02E00695.pf
05.01.2008 12:31 12.204 GUI.EXE-33FFE4AB.pf
05.01.2008 12:31 21.942 ASHDISP.EXE-3B7A1B28.pf
05.01.2008 12:31 13.774 DAEMON.EXE-3ACA093E.pf
05.01.2008 12:31 12.834 USERINIT.EXE-0743FDA9.pf
05.01.2008 12:31 6.766 CLISTART.EXE-3AF3AA34.pf
05.01.2008 12:31 7.986 LANGUAGE.EXE-0C543E78.pf
05.01.2008 01:20 114.310 REGCLEANER.EXE-01734F1F.pf
04.01.2008 17:16 52.146 DISKCLEANER.EXE-350555DD.pf
04.01.2008 17:15 104.518 REGISTRYCLEANER.EXE-053A9B34.pf
04.01.2008 17:15 56.604 SYSTEMOPTIMIZER.EXE-0412E5F1.pf
04.01.2008 03:27 96.178 HELPSVC.EXE-1C192440.pf
03.01.2008 19:27 564.990 Layout.ini
03.01.2008 12:59 51.950 MOM.EXE-33BF1D10.pf
03.01.2008 03:24 88.706 DFRGNTFS.EXE-38C3807C.pf
03.01.2008 03:24 17.638 DEFRAG.EXE-2858C7E2.pf
01.01.2008 12:16 9.072 QUICKSTART.EXE-1484799A.pf
31.12.2007 21:58 64.988 ACRORD32.EXE-0ABDA372.pf
31.12.2007 13:08 10.556 ADOBE GAMMA LOADER.EXE-0C2694E8.pf
31.12.2007 01:08 26.582 VENTRILO.EXE-1E4420B1.pf
30.12.2007 19:05 12.260 F-300_UPDATER_V1.01_RU.EXE-32303818.pf
30.12.2007 19:04 12.784 F-300_UPDATER_V1.01_TEST.EXE-126A0FC8.pf
30.12.2007 19:03 63.032 4PDM_45738.EXE-2D14A2C7.pf
30.12.2007 19:03 13.514 VUNDOFIX.EXE-210C5764.pf
30.12.2007 18:53 16.978 REDVEX1.EXE-310982FD.pf
30.12.2007 18:42 73.228 TRILLIAN.EXE-010283D0.pf
30.12.2007 01:06 19.470 IPCONFIG.EXE-05D7908C.pf
29.12.2007 01:29 6.430 DIVXCOMPONENT.EXE-05AD51DB.pf
29.12.2007 01:28 14.876 YDETECT.EXE-063CC989.pf
29.12.2007 01:28 31.524 DIVXWEBPLAYERINSTALLER.EXE-2E72DD63.pf
29.12.2007 01:28 14.674 DIVXCONNECTIONTESTER.EXE-0F23FF11.pf
28.12.2007 23:33 18.362 DBOX_BOOT.EXE-1A34731F.pf
28.12.2007 23:33 101.052 DBOX_IFA.EXE-26234B2B.pf
28.12.2007 03:37 11.024 RUNDLL32.EXE-6E8D4657.pf
28.12.2007 03:36 34.906 POWERDVD.EXE-28BB77AA.pf
28.12.2007 03:35 57.402 NERO.EXE-196A93E2.pf
28.12.2007 03:32 59.486 SHOWTIME.EXE-22C6F2EB.pf
27.12.2007 20:40 19.804 DBOX_BOOT.EXE-0179F33B.pf
26.12.2007 12:17 5.260 LOGON.SCR-24ADF392.pf
20.12.2007 10:04 9.392 SOFFICE.EXE-3817ECFB.pf
17.12.2007 22:27 100.984 DIVXCODECUPDATECHECKER.EXE-046062D4.pf
17.12.2007 11:03 9.056 ADOBELM_CLEANUP.0001-326E6B86.pf
17.12.2007 11:03 5.126 ADOBELMSVC.EXE-2C56FEB3.pf
17.12.2007 11:03 76.970 PHOTOSHOP.EXE-1E1CF42D.pf
17.12.2007 11:03 14.756 RUNDLL32.EXE-6D9C45AD.pf
17.12.2007 00:25 47.112 CLEANMGR.EXE-31B430FE.pf
16.12.2007 10:09 19.920 SCNPANEL.EXE-2C4D7EEE.pf
14.12.2007 11:25 8.236 WOWERRORAE.EXE-0584CD89.pf
14.12.2007 11:25 60.768 WOW.EXE-010BA230.pf
14.12.2007 11:25 42.600 INSTALLER.EXE-165E6C99.pf
14.12.2007 11:25 8.970 BNUPDATE.EXE-199A1BA5.pf
11.12.2007 10:00 40.150 ADOBEUPDATER.EXE-05B5417F.pf
10.12.2007 17:39 22.570 ASHDISP.EXE-204B2541.pf
09.12.2007 17:51 20.370 WUPDMGR.EXE-08F70643.pf
09.12.2007 17:50 50.928 RUNDLL32.EXE-655007EC.pf
09.12.2007 17:50 18.908 RUNDLL32.EXE-6A38C145.pf
09.12.2007 17:50 20.248 RUNDLL32.EXE-4E479A56.pf
09.12.2007 10:50 7.332 PATCHER.EXE-025BF33B.pf
08.12.2007 16:48 28.266 RUNDLL32.EXE-61CC052C.pf
08.12.2007 16:41 17.492 NETSTAT.EXE-04F18BC0.pf
08.12.2007 16:32 67.732 MSIMN.EXE-2E3AC8DB.pf
01.12.2007 00:18 23.122 HELPER.EXE-0FA8EADB.pf

Verzeichnis von E:\WINDOWS

06.01.2008 13:28 445.200 WindowsUpdate.log
06.01.2008 13:23 227 system.ini
06.01.2008 13:23 477 win.ini
06.01.2008 13:22 0 0.log
06.01.2008 13:22 159 wiadebug.log
06.01.2008 13:22 1.118 ScnPanel.ini
06.01.2008 13:22 50 wiaservc.log
06.01.2008 13:22 2.048 bootstat.dat
06.01.2008 13:14 295.252 ntbtlog.txt
06.01.2008 11:37 117 WININIT.INI
06.01.2008 10:53 141.630 setupapi.log
06.01.2008 04:28 32.572 SchedLgU.Txt
06.01.2008 04:24 116 NeroDigital.ini
05.01.2008 03:27 54.156 QTFont.qfn
31.12.2007 17:32 438 BRWMARK.INI
30.12.2007 19:00 1.409 QTFont.for
17.12.2007 11:05 2.677 Ausba4.ini
17.12.2007 11:05 11.480 Dusb4ar.ini
17.12.2007 00:25 184.829 setupact.log

Verzeichnis von E:\WINDOWS\tasks

06.01.2008 14:00 276 AE4145F091D6C0C0.job
06.01.2008 13:22 6 SA.DAT
05.01.2008 01:21 554 CMEPTbik scan and fix.job
04.01.2008 17:16 388 1-Click Maintenance.job
29.12.2007 01:00 544 CMEPTbik backup.job

Verzeichnis von E:\WINDOWS\temp

06.01.2008 13:45 16.384 Perflib_Perfdata_49c.dat
06.01.2008 13:01 16.384 Perflib_Perfdata_604.dat
06.01.2008 10:49 16.384 Perflib_Perfdata_5ec.dat
06.01.2008 09:02 16.384 Perflib_Perfdata_5f0.dat
16.12.2007 10:02 16.384 Perflib_Perfdata_5f4.dat

erzeichnis von E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp

06.01.2008 14:32 128.867 filelist.txt
06.01.2008 13:41 49.152 ~DF8270.tmp
06.01.2008 13:24 0 is4.tmp
06.01.2008 13:22 22.246 Turkish.bin
06.01.2008 13:22 21.958 Norwegian.bin
06.01.2008 13:22 26.076 Hungarian.bin
06.01.2008 13:22 19.553 Hebrew.bin
06.01.2008 13:22 22.853 Finnish.bin
06.01.2008 13:22 24.310 Czech.bin
06.01.2008 13:22 25.067 Portuguese(Brazil).bin
06.01.2008 13:22 24.219 Polish.bin
06.01.2008 13:22 25.080 Greek.bin
06.01.2008 13:22 21.977 Thai.bin
06.01.2008 13:22 20.974 Arabic.bin
06.01.2008 13:22 16.404 SimChin.bin
06.01.2008 13:22 21.911 English.bin
06.01.2008 13:22 26.256 Portuguese.bin
06.01.2008 13:22 24.088 SWEDISH.bin
06.01.2008 13:22 27.754 Spanish.bin
06.01.2008 13:22 26.125 Russian.bin
06.01.2008 13:22 27.409 Italian.bin
06.01.2008 13:22 25.746 German.bin
06.01.2008 13:22 27.237 French.bin
06.01.2008 13:22 16.949 TradChin.bin
06.01.2008 13:22 25.741 Dutch.bin
06.01.2008 13:22 22.769 Danish.bin
06.01.2008 13:22 20.135 Korean.bin
06.01.2008 13:22 24.297 Japanese.bin
06.01.2008 13:00 49.152 Helper.dll
06.01.2008 12:59 0 is63.tmp
06.01.2008 12:58 0 is5F.tmp
06.01.2008 12:58 387.968 979yxkbw.exe
06.01.2008 12:57 49.152 ~DF133F.tmp
06.01.2008 12:37 416 java_install_reg.log
06.01.2008 11:56 0 is8.tmp
06.01.2008 11:07 1.924.330 8law145f.exe
06.01.2008 10:46 0 is41.tmp
06.01.2008 10:46 0 is3D.tmp
06.01.2008 10:43 7.364.920 rfhsug19.exe
05.01.2008 13:58 399.360 bis1D.exe
05.01.2008 13:48 399.360 bisD.exe
05.01.2008 13:47 399.360 bisC.exe
05.01.2008 13:44 399.360 bisA.exe
05.01.2008 13:43 49.152 ~DFCBDD.tmp
01.01.2008 21:05 108 D653F3EC.TMP

Re,

habe combofix nocheinmal runtergeladen und ausgeführt

Nach dem ausfüren funktionierte mine internet nicht mehr.


ComboFix 08-01-04.1 - CMEPTbik 2008-01-06 14:56:49.2 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1737 [GMT 1:00]
ausgeführt von:: E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\_install.exe nicht gefunden

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-06 14:46 . 2000-08-31 08:00 51,200 --a------ E:\WINDOWS\NirCmd.exe
2008-01-06 13:31 . 2008-01-06 13:31 <DIR> d-------- E:\Programme\Lavasoft
2008-01-06 13:31 . 2008-01-06 13:31 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-06 11:09 . 2008-01-06 11:38 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-06 10:53 . 2008-01-06 10:53 <DIR> d-------- E:\WINDOWS\system32\Kaspersky Lab
2008-01-06 10:53 . 2008-01-06 10:53 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-06 10:20 . 2008-01-06 10:45 <DIR> d-------- E:\Programme\XoftSpySE
2008-01-06 10:05 . 2008-01-06 13:15 <DIR> d-------- E:\Programme\Enigma Software Group
2008-01-05 13:58 . 2008-01-05 13:58 <DIR> d-------- E:\Programme\BowsPhoneWay
2008-01-05 13:44 . 2008-01-05 13:59 <DIR> d-------- E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\BowsPhoneWay
2008-01-05 13:44 . 2008-01-05 13:59 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Find Close Surf
2007-12-30 19:00 . 2008-01-05 03:27 54,156 --ah----- E:\WINDOWS\QTFont.qfn
2007-12-30 19:00 . 2007-12-30 19:00 1,409 --a------ E:\WINDOWS\QTFont.for
2007-12-17 11:05 . 2007-12-17 11:05 529,844 --a------ E:\krankenschein2.jpg
2007-12-11 10:08 . 2007-12-11 10:08 533,640 --a------ E:\krankenschein.jpg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 13:45 --------- d-----w E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\OpenOffice.org2
2008-01-06 13:43 --------- d-----w E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\uTorrent
2008-01-06 12:30 --------- d-----w E:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-30 17:43 --------- d-----w E:\Programme\Trillian
2007-12-29 00:29 --------- d-----w E:\Programme\DivX
2007-11-29 22:30 200,704 ----a-w E:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w E:\WINDOWS\system32\libdivx.dll
2007-11-16 19:35 --------- d-----w E:\Programme\Ventrilo
2007-11-06 19:58 --------- d-----w E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\vlc
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 11:28 139264]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Mpeg Jump"="E:\DOKUME~1\CMEPTbik\ANWEND~1\BOWSPH~1\dead blah.exe" [2008-01-05 13:58 399360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EasyTuneV"="E:\Programme\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54 200704]
"DAEMON Tools"="E:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"LanguageShortcut"="E:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152]
"avast!"="E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06 79224]
"StartCCC"="e:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 14:00 16050176 E:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

E:\Dokumente und Einstellungen\CMEPTbik\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50]
OpenOffice.org 2.2.lnk - E:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 15:54:56]

E:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
ScanPanel.lnk - E:\ScanPanel\ScnPanel.exe [2007-04-15 11:27:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\RegCompact]
RegCompact.dll 2006-04-10 18:42 138552 E:\WINDOWS\system32\RegCompact.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\close surf mail dupe]
2008-01-06 14:46 2242560 --a------ E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Find Close Surf\dash bib.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-03 23:57 15360 --a------ E:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
E:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mpeg Jump]
2008-01-05 13:58 399360 --a------ E:\DOKUME~1\CMEPTbik\ANWEND~1\BOWSPH~1\dead blah.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 16:40 155648 --a------ E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
E:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
E:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-10-12 03:10 49263 --a------ E:\Programme\Java\jre1.5.0_09\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
E:\Programme\Save\Save.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
"IDriverT"=3 (0x3)
"rpcapd"=3 (0x3)
"RichVideo"=2 (0x2)
"mnmsrvc"=3 (0x3)
"lanmanserver"=2 (0x2)

R0 iteraid;ITERAID_Service_Install;E:\WINDOWS\system32\DRIVERS\iteraid.sys [2004-10-29 10:21]
S2 SVKP;SVKP;E:\WINDOWS\system32\SVKP.sys [2006-11-14 00:13]
S3 MarkFun_NT;MarkFun_NT;E:\Programme\Gigabyte\ET5\markfun.w32 [2005-04-27 10:40]
S3 NPF;NetGroup Packet Filter Driver;E:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:16:39 E:\WINDOWS\Tasks\1-Click Maintenance.job"
- E:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-01-06 13:00:02 E:\WINDOWS\Tasks\AE4145F091D6C0C0.job"
- e:\dokume~1\cmeptbik\anwend~1\bowsph~1\Bore date more.exe
"2007-12-29 00:00:53 E:\WINDOWS\Tasks\CMEPTbik backup.job"
- E:\Programme\AMUST\Registry Cleaner\RegCleaner.exe
"2008-01-05 00:21:39 E:\WINDOWS\Tasks\CMEPTbik scan and fix.job"
- E:\Programme\AMUST\Registry Cleaner\RegCleaner.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 14:58:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-06 14:59:04
ComboFix2.txt 2008-01-06 13:49:15

Zitat:

Nach dem ausfüren funktionierte mine internet nicht mehr.

Funktioniert es denn jetzt wieder?!


Versuche nun folgendes:



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\BowsPhoneWay\dead blah.exe
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Find Close Surf\dash bib.exe
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\~DF8270.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is4.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is63.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is5F.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\~DF133F.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is8.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is41.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\is3D.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\~DFCBDD.tmp
E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\D653F3EC.TMP


Folders to delete:
E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\BowsPhoneWay
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Find Close Surf

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass den Internet Exploere nochmal laufen, und berichte ob immer noch Pop-Ups erscheinen!

Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Danke für die die schnelle antwort und nützliche tips, haben mir weitergeholfen,

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nwytetdb

*******************

Script file located at: fcjaequs

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Habe die daten manuell in abgesicherten modus gelöscht, Rechenr läuft jetzt ca 30 min stabil, keine popups, kine IEXLPORE.exe

Ist ein supper board und Leute, hat mir wiedermal weiter geholfen.

Führe zur Sicherheit noch mal einen eScan aus, das dauert zwar etwas könnte aber noch mehr finden:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Sunny

Hat wieder angefangen

alle exes die asgefürt werden, werden infiziert


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 12/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei E:\PROGRA~1\SPYWAR~1\SDTRAY~1.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\WINDOWS\system32\geedb.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Programme\Gigabyte\ET5\GUI.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\PROGRA~1\DAEMON~1\daemon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Programme\CyberLink\PowerDVD\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei e:\PROGRA~1\ATITEC~1\ATI.ACE\CORE-S~1\CLIStart.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\PROGRA~1\SPYWAR~1\SDTRAY~1.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\PROGRA~1\GEMEIN~1\Ahead\Lib\NMBGMO~1.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\PROGRA~1\SPYBOT~1\TeaTimer.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\DOKUME~1\CMEPTbik\ANWEND~1\BOWSPH~1\DEADBL~1.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\WINDOWS\system32\geedb.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\DOKUME~1\CMEPTbik\LOKALE~1\Temp\RCX1B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\BC-english\WoW-2.0.0.5991-enGB-Installer\Installer.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\BowsPhoneWay\dead blah.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\am632xd4.default\Cache\01B96CB2d01/crack.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.yz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp\RCX1B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Programme\Spybot - Search & Destroy\TeaTimer.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Programme\Spyware Doctor\SDTrayApp.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP236\A0086077.exe infiziert von "Trojan.Win32.Obfuscated.mc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP242\A0087546.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087652.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.yz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087672.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087673.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087675.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087676.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087677.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087678.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087679.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087680.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087681.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{6DFE80F7-8CF2-43ED-A937-C174FFBBD8A3}\RP246\A0087682.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\bpftpserver_install.exe//Stream//data0005 markiert als not-a-virus:Server-FTP.Win32.BulletProof.231. Keine Aktion vorgenommen.
File E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\Cdvd.exe//data0014 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\UltraVNC-102-Setup.exe//file04 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.1102. Keine Aktion vorgenommen.
File E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\WoW_arbeit\HopsterSetup.exe//data0003/Webhdll.dll markiert als "not-a-virus:AdWare.Win32.WebHancer.320". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003\De11.exe//file04 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.1102. Keine Aktion vorgenommen.
File E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003\De8.exe//data0014 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\motherboard_driver_audio_microsoft_bus.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\motherboard_driver_audio_realtek_azalia_xp64.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 88962
Gefundene Viren: 53
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 502
Dauer des Scans bisher: 00:53:36
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:33:36,98
Batchende: 23:34:04,57

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.


Downloade Dr.Web CureIt!
in einen eigenen Ordner.
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.

NEW CureIt!
(FREE Dr.Web CureIt!)

Lies nun zuerst unsere deutsche Anleitung

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen. Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.
(lots of thanks for Ruby. )


(Systemwiederherstellung kann nun wieder aktiviert werden.)

Habe den Scan durchgeführt, der Dr. Web hat jede menge gefunden und beseitigt, doch habe noch mehrere infizierte datein die der online scanner gezeigt hat, z.b cbxywvw.dll und geedb.dll, sie lassen sich nichtmal in abgesicherten modus löschen oder umbennenen.

hier das logfile


ctfmon.exe;e:\windows\system32;Trojan.MulDrop.10006;Gelöscht.;
dead blah.exe;E:\Dokumente und Einstellungen\CMEPTbik\Anwendungsdaten\BowsPhoneWay;Trojan.MulDrop.10006;Gelöscht.;
HopsterSetup.exe;E:\Dokumente und Einstellungen\CMEPTbik\Eigene Dateien\WoW_arbeit;Adware.WebHancer;;
RCX1B.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCX3.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCX6.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCX9.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCX99.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCXA6.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
RCXC.tmp;E:\Dokumente und Einstellungen\CMEPTbik\Lokale Einstellungen\Temp;Trojan.MulDrop.10006;Gelöscht.;
NMSAccess.exe;E:\Programme\CDBurnerXP Pro 3\Tools;Program.PsKill.origin;;
NMBgMonitor.exe;E:\Programme\Gemeinsame Dateien\Ahead\Lib;Trojan.MulDrop.10006;Gelöscht.;
mirc.chm\ctcp_events.htm;E:\Programme\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;E:\Programme\mIRC;Archiv enthält infizierte Objekte;Verschoben.;
mirc.exe;E:\Programme\mIRC;Program.mIRC.621;;
qttask.exe;E:\Programme\QuickTime;Trojan.MulDrop.10006;Gelöscht.;
TeaTimer.exe;E:\Programme\Spybot - Search & Destroy;Trojan.MulDrop.10006;Gelöscht.;
De1.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De12.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De2.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De3.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De4.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De5.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;
De6.exe;E:\RECYCLER\S-1-5-21-2025429265-1801674531-839522115-1003;Trojan.MulDrop.10006;Gelöscht.;

Atf-Cleaner

• Download Atf Cleaner Windows
• Setze Häkchen in alle Fächer, wie du es hier siehst:

und

• Leere damit die temporären Ordner unter den Benutzer Accounts und im Administrator Account.
• Leere die temporären Ordner in Firefox und/oder Opera, wenn vorhanden.
• Wiederhole den Vorgang solange, bis 0 Funde angezeigt werden.
• Wiederhole diesen Vorgang nach jedem Besuch im Netz, unter dem Account, mit dem du im Netz warst.

(Atribune.org Anleitung)

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Zitat:

Zitat von String

cbxywvw.dll

geedb.dll

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Ich danke dir Sunny, ohne deine hillfe wusste ich nicht wie ich es alles allene schaffen würde.

Habe die gefundenen regestry einträge manuel gelöscht, nicheinemal mit escan alles durchgesucht, keine viren mehr ausser ein aar fehler. Leider zeigt die find.bat nicht an welche art von fehlern das ist, ich hoffe es ist nichts schlimmes, hier logfile von find.bat nocheinmal


~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 39123
Gefundene Viren: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 46
Dauer des Scans bisher: 00:07:55
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten eaktiviert

Batchstart: 19:37:49,84
Batchende: 19:37:52,81

Nachtrag:

die ganzen trojaner die ich hatte, muss ich mir sorgen un meine Passwörter machen wie z.b meine e-mail oder online spiele Accaunts etc.?

Zitat:

Zitat von cmeptb

Nachtrag:

die ganzen trojaner die ich hatte, muss ich mir sorgen un meine Passwörter machen wie z.b meine e-mail oder online spiele Accaunts etc.?

Ja das solltest du, versuche nachdem nun alles bereinigt hast, nun mehr auch alle Passwörter zu ändern!
Ich kann dir nicht zu 100% sagen das alles vom System entfernt wurde, absolute Sicherheit bekommst du nur durch eine Neuinstallation des Betriebssystems.