Hallo myrtille,

Ahh ok danke... ich sehe diese "update.exe" , leider immer noch nicht ... wie gesagt wenn ich sie öffnen möchte öffnet sich ein die CMD und der Courser blinkt nur oben links .


Mfg. Maverik

Hallo blow-in,

Ich glaube ich hab nichts mehr zu verlieren ... also würde ich es gerne mit euch versuchen die bereinigung durchzuführen !

Mfg. Maverik

Nun dann fangen wir mal an. Smitfraudfix entsprechend der Anleitung im abgesicherten Modus und starten, wähle dabei reinigen.
Danach noch dem CCleaner drüber laufen lassen.
Die Bereinigung der Registry mehrmals laufen lassen.
Am Schluss noch einen Onlinescan mit Kaspersky
dann werden wie weiter sehen.
Das Ergebnis von Kaspersky natürlich auch hier mal reinstellen.
Ach so was ich noch vergessen habe. Den Onlinscan musst du mit dem IExplorer von Windows machen. Dabei die Ausführung von ActiveX zulassen. Dein Avira must du dazu ausschalten.

nur ganz kurz:
für dringender als eine bereinigung halte ich im moment
das ändern aller passwörter von einem cleanen rechner aus.
daß die clipuser32.dll in dem bereich wildert, wissen wir ja zumindest.

Hallo zusammen ,

zu boston :

Zitat:

für dringender als eine bereinigung halte ich im moment
das ändern aller passwörter von einem cleanen rechner aus.

Die wichtigsten passwörter habe ich geändert !
Danke das du mich darauf aufmerksam gemacht hast !

zu blow-in :

Habe alles gemacht was du gesagt hast !

Zuerstz der Report von SmitFraudFix :

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.300

Scan done at 21:33:41,06, 05.03.2008
Run from C:\Dokumente und Einstellungen\Christian und Verena\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}"="djuka"

[HKEY_CLASSES_ROOT\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]
@="C:\WINDOWS\system32\wbchha.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]
@="C:\WINDOWS\system32\wbchha.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 80.69.98.110
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Dann hab ich den CCleaner drüber laufen lassen + Registry reinigung mehrmals.

Und dann noch kaspersky hier der report :

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnisse 
Untersuchte Objekte insgesamt 10857 
Viren gefunden 3 
Infizierte Objekte gefunden 4 
Verdächtige Objekte gefunden 0 
Untersuchungszeit 00:07:33 

Name des infizierten Objekts Virusname Letzte Aktion 
C:\WINDOWS\CSC\00000001  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\amndoogh.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\clipuser32.dll  Infizierte Objekte: Trojan-PSW.Win32.Delf.apy  übersprungen  
 
C:\WINDOWS\system32\cmgcirgi.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\diaqsnbn.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\drivers\sptd.sys  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\fokrqqkv.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\hggdaaw.dll  Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.gen  übersprungen  
 
C:\WINDOWS\system32\ituglcbo.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\mfrffnhh.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\ninnhoyo.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\nquuvekr.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\oaihbgnu.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\okkwkyfd.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\qnggixjm.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\rfpemwjy.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\rlvlhspi.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\sfpkguvt.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\sleep32.dll  Infizierte Objekte: Trojan-PSW.Win32.Delf.bbe  übersprungen  
 
C:\WINDOWS\system32\ulbjbtis.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\vturo.dll  Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.gen  übersprungen  
 
C:\WINDOWS\system32\vvhdqhsb.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\ygngtcbe.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\yhaiadvw.dll  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\ymcbxtap.dll  Das Objekt ist gesperrt  übersprungen  
 
Die Untersuchung wurde abgeschlossen.
         

Hoffe wir bekommen es jetzt in den griff


Mfg. Maverik

Hallo maverikone
Ich muss dich leider enttäuschen. Der Trojaner ist zu neu, als das man sagen kann, was er alles anrichtet. Er hat sich zu tief im System verankert und was er alles verseucht hat, wissen wir nicht. Bevor noch weiter hier rumgefrickelt wir, muss ich dir raten neu aufzusetzen.
Vielleicht hat noch jemand eine Idee, aber dass danach dein System wieder vertrauenswürdig wird, mag ich bezweifeln.
Wenn du noch irgendwelche Dateien sichern willst, können wir darüber reden.
Ansonsten geht ein neu aufsetzen auf jeden Fall schneller als jeder weitere Reinigungsversuch..

Wenn du dich noch über diese Datei belesen möchtest, dann gebe ich dir mal ein paar Links: hier und hier bei Google

Hallo blow-in,

Ich danke dir trotzdem viellmals für deine Hilfe, ich denke ich werde jetzt auch das system neu aufsetzen !

Kannst du mir evtl. noch ein paar tipps geben was ich nach dem neu aufsetzen
besser machen kann um mich richtig zu schützen !

Also ich finde Avira manchmal echt nervig da es manchmal regelrechte "ausflipper" gekommt gibt das noch andere freeware oder sogar noch bessere ?

Danke

Mfg. Maverik

Also der Avira ist schon der beste unter den kostenfreien AVP.
Nach der Neuistallation und Updates ein eingeschränktes Konto einrichten, mit dem du ins Internet gehst. Für deinen Bruder auf jeden Fall nur noch ein eingeschränktes Konto. Die Windowseigene Firewall ist an sich ausreichend und bremst den Rechner nicht aus.
Ansonsten wünsch ich dir für die Zukunft viel Glück und keinen Stress mehr mit dem Rechner.

Und wenn du neu aufgesetzt hast, zeige mir bitte noch ein HJT-Log vom neuen System. Dieses musst du aber als Admin ausführen.
Ich wünsche dir viel Erfolg.