Hallo.

Bin gerade zu Besuch bei meinen Eltern und muss feststellen, dass der PC von meinem Vater total verseucht ist. Der Desktop zeigt ein rotes "Biohazard" Bild und den Schriftzug "Your Privacy is in Danger". Ich habe mich schon etwas informiert und mir die Programme: hijackthis und SmidFraudFix runtergeladen. Während ich hier schreibe öffnen sich andauernd PopUps und die wollen, dass ich AntiVir-Software runterladen und die mir erzählen wie verseucht mein PC ist.
Ich wäre euch dankbar, wenn Ihr mir Schritt für Schritt erklären könntet, wie ich die Fülle an Malware, Trojanern etc. loswerden kann ohne das System neu aufsetzten zu müssen.

Ich würde meinen Vater auch gerne eine Art Liste über den Rechner hängen auf der steht, was er niemals im Internet machen soll und was er sich nicht runterladen darf... eine Art Leitfaden für sicheres Surfen im Internet. Kennt Ihr so etwas?

Hier erstmal der LogFile von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:53, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\antiviirus.exe
C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Programme\XP Antivirus\xpa.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\WINDOWS\system32\winlagan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = **://de.rd.yahoo.com/customize/ycomp/defaults/sb/***://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = **://de.rd.yahoo.com/customize/ycomp/defaults/sp/***://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = **://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = **://de.rd.yahoo.com/customize/ycomp/defaults/su/***://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: RDL Rolex - {6027FDCA-AE2C-438B-8535-3A96C154F97C} - C:\WINDOWS\dgtxrdfqnt.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\PrintHood\msodocaul.gl1
O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: ekvgsnw - {7EB9F20D-11C7-4D4C-828A-A29F010BD259} - C:\WINDOWS\ekvgsnw.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - Software - (no file)
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - **://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE2E41A-10B7-4903-A24B-1676CBCBC162}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: alofkmn - {AF1921A6-CE44-4B29-8023-FFF7D8CB1ADF} - C:\WINDOWS\alofkmn.dll
O21 - SSODL: bxlrvps - {9895B79A-58B6-47F3-9E30-6D06D0612F0C} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: KernelCD - {400c297d-fef6-4988-a5ba-25cde7a915fd} - C:\WINDOWS\Installer\{400c297d-fef6-4988-a5ba-25cde7a915fd}\KernelCD.dll
O21 - SSODL: zip - {93cea0af-68d9-4ab2-ad46-407f763c1adf} - C:\WINDOWS\Installer\{93cea0af-68d9-4ab2-ad46-407f763c1adf}\zip.dll
O21 - SSODL: RamChk - {f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d} - C:\WINDOWS\Installer\{f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d}\RamChk.dll
O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - C:\WINDOWS\system32\dxmpp.dll (file missing)
O23 - Service: McAfee Application Installer Cleanup (0248351204632602) (0248351204632602mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\024835~1.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Online Search Service - Unknown owner - C:\WINDOWS\system32\winlagan.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Unknown owner - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 12368 bytes


Vielen Dank für eure Hilfe.

Die Büchse ist ganz schön zerdaddelt. Einfacher und sicherer wäre es schon die Kiste neu aufzusetzen.

Schädlingsdateien aus dem Log ersichtlich:

C:\Programme\antiviirus.exe
C:\Programme\XP Antivirus\xpa.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
C:\PROGRA~1\WinTV\HCWTVS~1.EXE

Sicherheitssoftware kann einfach nicht zuverlässig schützen, wenn so sorglos gesurft wird, ich wette um 100 € mit Adminrechten

- Surfen mit IE6
- Java-Version ist uralt

Hier ist zu viel Müll auf einem haufen, von einer Bereinigung würde ich abraten und zu einem flachmachen und neu aufsetzen des Betriebssystems dringends raten.

Danke für die schnelle Antwort. Das Problem ist, dass mein Vater zur Zeit im Urlaub ist und ich nicht weiß welche Dateien er noch braucht. Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?

Soll ich mal die von Dir rot markierten Einträgen fixen?

In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen. Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann. Danach würde ich ihm zu einem Neuaufsetzen raten. Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?

Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.

Zitat:

Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?

Reine Dateien ja, sofern diese nicht ausführbar sind. Alle ausführbaren Dateien sollten nicht mitgesichert werden.

Zitat:

Soll ich mal die von Dir rot markierten Einträgen fixen?

Ich habe Schädlingsdateien aufgeführt keine HJT-Einträge

Zitat:

In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen.

Crosspostings sind unbeliebt!! Da wird in dem anderen Fred dann Programm A und B erwähnt, hier dann vllt. Maßnahme C und Programm D. Du machst dann dann alle Tips die in beiden Freds drinstehen und das Resultat ist eine vollends vergurgte Kiste. Daher solltest Du auf X-Postings komplett verzichten!
Und wenn Du schon mehrfach irgendwo ein und dasselbe postest, solltest du den anderen wenigstens den Link geben um zu sehen was schon für Maßnahmen ergriffen wurden.

Zitat:

Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann.

Kann man versuchen ist aber aufwendig, benötigt recht viel Zeit und das Resultat ist ungewiß. Selbst wenn dann keine Symptome mehr auftauchen kann die Kiste immer noch kompromittiert sein.

Zitat:

Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?

Auch ein ausgeführter Schädling erbt die Rechte des Benutzers, der ihn ausführt. Mit Adminrechten darf er alles, mit eingeschränkten Rechten kann er aber nix am System verwurschteln, da man als einfacher Benutzer eben keine Schreibrechte in wichtigen Betriebssystembereichen hat. Das minimiert das Risiko recht deutlich und ein Schädling muß schon seeeehr gewieft sein um dennoch das System zu befallen.

Zitat:

Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.

1.) Alle Virenscanner für die Bereinigung erstmal deaktivieren!

2.) Beachte diese Anleitung zum Avenger, kopiere aber folgenden Text hinein (statt den *** schreibst du den Username rein!):

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
"C:\WINDOWS\privacy_danger"
"C:\Programme\XP Antivirus"

files to delete:
"C:\Programme\antiviirus.exe"
"C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"
"C:\WINDOWS\system32\winlagan.exe"
"C:\WINDOWS\dgtxrdfqnt.dll"
"C:\WINDOWS\ekvgsnw.dll"
"C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe"
"C:\WINDOWS\system32\drivers\spools.exe"
"C:\WINDOWS\alofkmn.dll"
"C:\WINDOWS\bxlrvps.dll"
         

Das Avenger logfile posten. Lösch das backup.zip vom Avenger noch nicht. Zur späteren Auswertung der Dateien lädst du es bitte bei file-upload.net hoch und verlinkst es hier.

3.) CCleaner/Datfind.bat => Anleitung

4.) Zusätzlich diese Tools und deren logs posten:

* Blacklight
* eScan
* Silentrunners
* combofix

5.) Ein frisches HJT-Logfile mit Hilfe dieser umbenannten hijackthis.exe

hallo root24,

Danke dafür dass du an meinem Problem dran bleibst. Ich werde mich heute Abend an Deine Aufgaben machen. Vielen Dank!

Ich habe mein Problem noch in keinem anderen Thread gepostet und kein X-Posting betrieben!! Ich meinte nur, dass ich das gleiche Problem schon in anderen Posts gelesen habe, von anderen Usern, und dort wurde versucht das System mit unterschiedlichsten Mitteln zu bereinigen.

Ich bin dir sehr dankbar für Deine Hilfe.

Grüße Vince

So, los geht's:

1) Avenger-Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open folder ""C:\WINDOWS\privacy_danger""
Deletion of folder ""C:\WINDOWS\privacy_danger"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open folder ""C:\Programme\XP Antivirus""
Deletion of folder ""C:\Programme\XP Antivirus"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Programme\antiviirus.exe""
Deletion of file ""C:\Programme\antiviirus.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe""
Deletion of file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\winlagan.exe""
Deletion of file ""C:\WINDOWS\system32\winlagan.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\dgtxrdfqnt.dll""
Deletion of file ""C:\WINDOWS\dgtxrdfqnt.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\ekvgsnw.dll""
Deletion of file ""C:\WINDOWS\ekvgsnw.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe""
Deletion of file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\drivers\spools.exe""
Deletion of file ""C:\WINDOWS\system32\drivers\spools.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\alofkmn.dll""
Deletion of file ""C:\WINDOWS\alofkmn.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\bxlrvps.dll""
Deletion of file ""C:\WINDOWS\bxlrvps.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

-----
Leider konnte ich das back-Up-file noch nicht hochladen. file-upload.net hat irgendein Problem. ich versuche es später noch mal.

Hm das Löschen hat irgendwie nicht geklappt. Ich vermute die Anführungszeichen sind schuld, kann sein das sich beim Avenger das geändert hat (seit kurzem wurde das Programm überarbeitet). Mach das nochmal mit diesem Tool aber kopiere diesen Text rein:

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
C:\WINDOWS\privacy_danger
C:\Programme\XP Antivirus

files to delete:
C:\Programme\antiviirus.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\JEAN-F~1\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
         

Danach das neue Avenger Log posten. Also wie gehabt.