danke...

nur bei schritt 2 komme ich nicht weiter....

ich öffne dann die datei dann und dann kommt folgendes fenster (wie auf dem bild)

wenn ich iwas drücke ist es weg und es passiert nichts...

«
zu punkt 2 :
den Download von smitfraudfix zulassen und die smitfraud.zip korrekt entzippen ! wird der Download verhindert, und die zip nicht korrekt entzippt - ist smitfraudfix nicht anwendbar

Zitat:

Hinweis:
process.exe wird von manchen Antivirus Programmen (AntiVir, Dr.Web, Kaspersky) als ein "RiskTool" bezeichnet. Es ist kein Virus, sondern ein Programm, das man verwendet um Systemprozesse zu beenden. Antivirus Programme können nicht unterscheiden zwischen dem "guten" und "bösen" Gebrauch dieser Programme, deshalb müssen sie den User warnen

«
arbeite die anderen 2 Punkte ab + poste den Report von Combofix

Ja nur das geht trotzdem nicht...

lade ganz normal runter, dann mit Winzip die Datein smitfraudfix öffnen....alles kein problem...

trotzdem öffnet dann immer nur das rote Fenster...

Was soll ich machen?

lass das smitfraudfix erst mal, arbeite die anderen Punkte ab

zu 4.


ComboFix 08-03-14.4 - xxx 2008-03-17 9:12:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.239 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Helper
C:\Programme\Helper\1205741463.dll
C:\Programme\VirusHeat 4.3
C:\Programme\VirusHeat 4.3\VirusHeat 4.3.exe
C:\WINDOWS\system32\ssqnkki.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-17 08:16 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2008-02-10 08:06 --------- d-----w C:\Programme\CCleaner
2008-02-10 03:47 --------- d-----w C:\Programme\AskTBar
2008-02-10 03:47 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero
2008-02-10 03:46 --------- d-----w C:\Programme\Simplyzip
2008-02-09 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WinZip
2008-02-09 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-02-09 11:00 --------- d-----w C:\Programme\Avira
2008-02-09 11:00 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-02-09 06:17 --------- d-----w C:\Programme\LimeWire
2008-02-09 06:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-02-09 06:10 --------- d-----w C:\Programme\ICQToolbar
2008-02-09 06:10 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ Toolbar
2008-02-09 05:59 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire
2006-08-01 17:40 319 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]
C:\Programme\NetProject\sbmdl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2007-03-12 13:49 153136]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-16 12:34 98304]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-26 13:28 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-09 12:02 249896]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E2F8F7C7-954D-4336-BA99-27BFBEB73DAF}"= C:\WINDOWS\system32\ssqnkki.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="kduub.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnkki]
ssqnkki.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 09:17:01
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\kduub.exe 82432 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 9:19:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-17 08:19:20

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code: Alles auswählenAufklappen

ATTFilter

Registry:: 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnkki]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6860A44B-5D3E-433D-A7B5-D517F810D0E7}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E2F8F7C7-954D-4336-BA99-27BFBEB73DAF}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"=-
"System"="" 

Folder:: 
C:\Programme\AskTBar
         

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

+
poste das neue Log von Combofix