Danke für die schnelle Antwort. Das Problem ist, dass mein Vater zur Zeit im Urlaub ist und ich nicht weiß welche Dateien er noch braucht. Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?

Soll ich mal die von Dir rot markierten Einträgen fixen?

In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen. Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann. Danach würde ich ihm zu einem Neuaufsetzen raten. Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?

Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.

Zitat:

Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?

Reine Dateien ja, sofern diese nicht ausführbar sind. Alle ausführbaren Dateien sollten nicht mitgesichert werden.

Zitat:

Soll ich mal die von Dir rot markierten Einträgen fixen?

Ich habe Schädlingsdateien aufgeführt keine HJT-Einträge

Zitat:

In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen.

Crosspostings sind unbeliebt!! Da wird in dem anderen Fred dann Programm A und B erwähnt, hier dann vllt. Maßnahme C und Programm D. Du machst dann dann alle Tips die in beiden Freds drinstehen und das Resultat ist eine vollends vergurgte Kiste. Daher solltest Du auf X-Postings komplett verzichten!
Und wenn Du schon mehrfach irgendwo ein und dasselbe postest, solltest du den anderen wenigstens den Link geben um zu sehen was schon für Maßnahmen ergriffen wurden.

Zitat:

Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann.

Kann man versuchen ist aber aufwendig, benötigt recht viel Zeit und das Resultat ist ungewiß. Selbst wenn dann keine Symptome mehr auftauchen kann die Kiste immer noch kompromittiert sein.

Zitat:

Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?

Auch ein ausgeführter Schädling erbt die Rechte des Benutzers, der ihn ausführt. Mit Adminrechten darf er alles, mit eingeschränkten Rechten kann er aber nix am System verwurschteln, da man als einfacher Benutzer eben keine Schreibrechte in wichtigen Betriebssystembereichen hat. Das minimiert das Risiko recht deutlich und ein Schädling muß schon seeeehr gewieft sein um dennoch das System zu befallen.

Zitat:

Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.

1.) Alle Virenscanner für die Bereinigung erstmal deaktivieren!

2.) Beachte diese Anleitung zum Avenger, kopiere aber folgenden Text hinein (statt den *** schreibst du den Username rein!):

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
"C:\WINDOWS\privacy_danger"
"C:\Programme\XP Antivirus"

files to delete:
"C:\Programme\antiviirus.exe"
"C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"
"C:\WINDOWS\system32\winlagan.exe"
"C:\WINDOWS\dgtxrdfqnt.dll"
"C:\WINDOWS\ekvgsnw.dll"
"C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe"
"C:\WINDOWS\system32\drivers\spools.exe"
"C:\WINDOWS\alofkmn.dll"
"C:\WINDOWS\bxlrvps.dll"
         

Das Avenger logfile posten. Lösch das backup.zip vom Avenger noch nicht. Zur späteren Auswertung der Dateien lädst du es bitte bei file-upload.net hoch und verlinkst es hier.

3.) CCleaner/Datfind.bat => Anleitung

4.) Zusätzlich diese Tools und deren logs posten:

* Blacklight
* eScan
* Silentrunners
* combofix

5.) Ein frisches HJT-Logfile mit Hilfe dieser umbenannten hijackthis.exe

hallo root24,

Danke dafür dass du an meinem Problem dran bleibst. Ich werde mich heute Abend an Deine Aufgaben machen. Vielen Dank!

Ich habe mein Problem noch in keinem anderen Thread gepostet und kein X-Posting betrieben!! Ich meinte nur, dass ich das gleiche Problem schon in anderen Posts gelesen habe, von anderen Usern, und dort wurde versucht das System mit unterschiedlichsten Mitteln zu bereinigen.

Ich bin dir sehr dankbar für Deine Hilfe.

Grüße Vince

So, los geht's:

1) Avenger-Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open folder ""C:\WINDOWS\privacy_danger""
Deletion of folder ""C:\WINDOWS\privacy_danger"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open folder ""C:\Programme\XP Antivirus""
Deletion of folder ""C:\Programme\XP Antivirus"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Programme\antiviirus.exe""
Deletion of file ""C:\Programme\antiviirus.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe""
Deletion of file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\winlagan.exe""
Deletion of file ""C:\WINDOWS\system32\winlagan.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\dgtxrdfqnt.dll""
Deletion of file ""C:\WINDOWS\dgtxrdfqnt.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\ekvgsnw.dll""
Deletion of file ""C:\WINDOWS\ekvgsnw.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe""
Deletion of file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\drivers\spools.exe""
Deletion of file ""C:\WINDOWS\system32\drivers\spools.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\alofkmn.dll""
Deletion of file ""C:\WINDOWS\alofkmn.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\bxlrvps.dll""
Deletion of file ""C:\WINDOWS\bxlrvps.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

-----
Leider konnte ich das back-Up-file noch nicht hochladen. file-upload.net hat irgendein Problem. ich versuche es später noch mal.

Hm das Löschen hat irgendwie nicht geklappt. Ich vermute die Anführungszeichen sind schuld, kann sein das sich beim Avenger das geändert hat (seit kurzem wurde das Programm überarbeitet). Mach das nochmal mit diesem Tool aber kopiere diesen Text rein:

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
C:\WINDOWS\privacy_danger
C:\Programme\XP Antivirus

files to delete:
C:\Programme\antiviirus.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\JEAN-F~1\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
         

Danach das neue Avenger Log posten. Also wie gehabt.

Habe es noch mal gemacht. Aber dieses Mal findet er die Dateien im "Dokumente und Einstellungen"-Ordner nicht. Muss ich dabei irgendetwas beachten? Habe mal den Namen drin gelassen. Mein Vater hat es ja eh nicht so mit Anonymität und Sicherheit ;o)

Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "NdisWon" found!
Start Type: 2 (Automatic)

Rootkit scan completed.

Folder "C:\WINDOWS\privacy_danger" deleted successfully.
Folder "C:\Programme\XP Antivirus" deleted successfully.
File "C:\Programme\antiviirus.exe" deleted successfully.

Error: file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" not found!
Deletion of file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\winlagan.exe" deleted successfully.
File "C:\WINDOWS\dgtxrdfqnt.dll" deleted successfully.
File "C:\WINDOWS\ekvgsnw.dll" deleted successfully.

Error: could not open file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe"
Deletion of file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

File "C:\WINDOWS\system32\drivers\spools.exe" deleted successfully.
File "C:\WINDOWS\alofkmn.dll" deleted successfully.
File "C:\WINDOWS\bxlrvps.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

2.) Datfindbat-File:

dirdat.txt

Ist das so OK mit dem Link, oder einfach Text reinkopieren?

Grüße & Danke.