Hi Leute bin neu hier...
Ich hab mir irgndwie ein Virus eingefangen weiß aber auch nicht wie...

Also das Problem ist neben der Uhr steht die ganze zeit VIRUS ALERT!

Und nach einer Zeit hab ich gemerckt das meine beiden Festplatten verschwunden sind! Wenn ich auf Arbeitsplatz geh seh ich die nicht mehr nur noch eine die unwichtig ist...

Und wenn ich auf Start klicke dann kann ich nur noch den Pc herunterfahren...
ich mein damit da steht kein Alle Programme mehr es ist weg!
Ist es ein Virus? Wenn ja wie geht´s weg?

THX im vorraus

Bitte poste ein HijackThis Logfile.

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Bitte benutzte die aktuelle Version von HiJackthis!

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.


-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.
- Dein Desktophintergrund ist nach dem Vorgang eventuell gelöscht.

Also ich hab im abgesichertem Modus gestartet. Aber wenn ich SmitfraudFix ausführen will kommt dann es könnte nicht gestartet werden weil Win32 nicht ausgeführt worden ist (so in etwa...)

Was soll ich tun?

Ähm und ich könnt dann noch wo ich im abgesichertem Modus war zwischen meinem Profil und einem Administrator Profil entscheiden. Ist es egal welches ich wähle?

Thx im vorraus

Wenn Smitfraudfix nicht will, versuchen wir es anders.

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ComboFix 08-06-06.6 - Sandra und Nico 2008-06-07 14:14:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.257 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base2.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\Desc.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\spline.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\SpyGuarder.ini
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\yayaXRJd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-06 18:09 . 2008-06-07 11:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-06-05 18:23 . 2008-06-05 18:23 1,699,840 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe
2008-06-05 13:27 . 2008-06-05 11:36 151,552 --a------ C:\WINDOWS\nmwegbsf.dll
2008-06-05 13:27 . 2008-06-05 11:36 94,208 --a------ C:\WINDOWS\eomf.exe
2008-06-05 13:27 . 2008-06-05 11:36 81,920 --a------ C:\WINDOWS\xbqmfsed.exe
2008-05-30 15:04 . 2008-06-06 18:05 <DIR> d-------- C:\Programme\ICQLite
2008-05-29 20:06 . 2008-06-05 16:01 <DIR> d-------- C:\Programme\ICQToolbar
2008-05-25 14:12 . 2008-05-25 14:12 36,864 --a------ C:\WINDOWS\system32\drivers\SSHDRV61.sys
2008-05-25 14:09 . 2008-05-25 14:09 <DIR> d-------- C:\Programme\Pinnacle
2008-05-25 14:09 . 2008-05-25 14:09 922 --a------ C:\WINDOWS\Recorder.reg
2008-05-25 14:08 . 2008-05-25 14:08 <DIR> d-------- C:\InstantCopy 8.0.3_Install
2008-05-20 11:01 . 2008-05-20 11:01 <DIR> d-------- C:\Programme\SlySoft
2008-05-20 10:49 . 2008-05-20 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-05-20 10:44 . 2008-05-20 10:47 24 ---hs---- C:\WINDOWS\SEA4B9EF0.tmp
2008-05-19 13:27 . 2008-05-19 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-05-19 10:05 . 2008-05-30 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\ICQLite
2008-05-19 09:14 . 2008-05-21 17:15 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-05-13 12:15 . 2008-05-13 12:15 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-05-13 12:15 . 2008-05-13 12:15 65,226 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-05-13 11:36 . 2008-05-13 12:15 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-05-13 11:35 . 2008-05-13 11:35 <DIR> d-------- C:\WINDOWS\BricoPacks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 12:16 565,024 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-07 12:16 11,122,976 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-07 11:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-07 11:56 55,892 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-07 11:56 152,624 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-31 08:51 2,528 ----a-w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\wklnhst.dat
2008-05-29 18:00 --------- d-----w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\ICQ
2008-05-29 16:50 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 15:58 1,868,944 ----a-w C:\WINDOWS\system32\RSA32_16.DLL
2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 14:44 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-23 16:52 --------- d-----w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\AdobeUM
2008-05-22 12:02 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-05-19 10:35 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-13 10:29 --------- d-----w C:\Programme\Veoh Networks
2008-05-13 10:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-05-06 15:23 --------- d-----w C:\Programme\Paint.NET
2008-05-04 19:11 --------- d-----w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\CyberLink
2008-04-26 18:30 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander
2008-04-23 15:32 58,288 ----a-w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-04-22 16:36 --------- d-----w C:\Programme\PhotoFiltre
2008-04-20 08:47 --------- d-----w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-04-20 08:44 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2008-04-20 08:44 --------- d--h--r C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\SecuROM
2008-04-20 07:58 --------- d-----w C:\Programme\Java
2008-04-20 07:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-19 20:55 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-04-19 20:55 --------- d-----w C:\Dokumente und Einstellungen\Sandra und Nico\Anwendungsdaten\teamspeak2
2008-04-12 18:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-10 13:19 97,728 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-04-07 19:24 --------- d-----w C:\Programme\MSBuild
2008-04-07 19:23 --------- d-----w C:\Programme\Reference Assemblies
2008-04-07 19:10 --------- d-----w C:\Programme\MSXML 6.0
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2003-08-14 18:13 40,960 ----a-w C:\Programme\Uninstall_PCM.exe
2001-11-23 09:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-03 23:58 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe
.

------- Sigcheck -------

2007-12-07 02:46 671744 273f4b37b80c8d398713a88b788fe59b C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll
2008-02-16 11:30 671744 6c49192217df0509bc6a576535545529 C:\WINDOWS\$hf_mig$\KB947864\SP2QFE\wininet.dll
2006-06-23 14:27 582144 8a74319e8eff349f2ce170cad587da2f C:\WINDOWS\$NtServicePackUninstall$\wininet.dll
2003-04-02 14:00 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\wininet.dll
2004-08-04 01:57 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\$NtUninstallKB944533$\wininet.dll
2007-12-07 03:06 665088 84e9262ed72810cff255befd188d4038 C:\WINDOWS\$NtUninstallKB947864$\wininet.dll
2008-02-16 10:59 699392 a372fd352bd83091bd7b875d33cdecbe C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2004-08-04 09:57 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\wininet.dll
2008-02-16 10:59 699392 a372fd352bd83091bd7b875d33cdecbe C:\WINDOWS\system32\wininet.dll
2008-02-16 10:59 665088 34b6ee86f286b2595539e1617962256d C:\WINDOWS\system32\dllcache\wininet.dll

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2003-04-02 14:00 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 01:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [2004-10-13 18:24 1694208]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-04-11 00:03 2075584]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:51 57344]
"D-Link Air USB Utility"="D:\Programme\D-Link\Air USB Utility\AirCFG.exe" [2004-05-25 19:09 1015808]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 12:54 45056]
"Cmaudio"="cmicnfg.cpl" []
"PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 16:23 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-09-19 15:02 406016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"D:\\Programme\\Metin2_Germany\\metin2.bin"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\Sandra und Nico\\Desktop\\Crashday\\Crashday.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 14:47]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys [2003-10-02 15:47]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-07 14:16:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 14:18:11
ComboFix-quarantined-files.txt 2008-06-07 12:18:08

9 Verzeichnis(se), 51,386,953,728 Bytes frei
11 Verzeichnis(se), 51,894,644,736 Bytes frei

174 --- E O F --- 2008-05-16 12:42:21





Und hier Hijackhis Logfile (neue version

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Killall::

Collect::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe
C:\WINDOWS\nmwegbsf.dll
C:\WINDOWS\eomf.exe
C:\WINDOWS\xbqmfsed.exe
C:\WINDOWS\SEA4B9EF0.tmp

Rootkit::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe
C:\WINDOWS\nmwegbsf.dll
C:\WINDOWS\eomf.exe
C:\WINDOWS\xbqmfsed.exe
C:\WINDOWS\SEA4B9EF0.tmp
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Also das hab ich gestern gemacht wie du es mir gesagt hast. Aber des hat mehr als 2 stunden gebraucht dann kam noch immer nix das stand immer Bitte öffnen sie kein Programm währendessen Combofix arbeitet (oda so...)

Logdatei wird erstellt dann kam ich nach ner Stunde dann stan´d da noch immer...


Kann des sein das Icq dran schuld ist weil es hat sich ICQ geöffnet

Wenn das so nicht funktioniert, versuche es bitte noch einmal mit diesem Script.
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Killall::

Collect::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe
C:\WINDOWS\nmwegbsf.dll
C:\WINDOWS\eomf.exe
C:\WINDOWS\xbqmfsed.exe
C:\WINDOWS\SEA4B9EF0.tmp
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hey,
ich hatte das selbe wie der threadposter...



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

Ich habe eine einfachere Lösung für dieses Problem gefunden, da sich der Virus in die Benutzerdateien einnistet:
Einfach im abgesicherten Modus einen neuen Benutzer anlegen und danach die Desktopverknüpfungen des alten Benutzers neu anlegen. Danach die eigenen Dateien auf den neuen Benutzer kopieren und den Alten löschen.
Damit fällt der Virus weg der nur den angemeldeten Benutzer befällt.
erik

@erik_fridjof: Denkst du. Beitrag gemeldet.

Die Möglichkeit zur "Entfernung" welche erik_fridjof aufgeführt hat ist garnicht so unsinnig, jedoch nicht konsistent genug, da die schädlichen Dateien so immer noch im System bleiben.

Man bekämpft sicherlich so nur die "Symptome" jedoch nicht die "Ursache" des Problems.

Sunny

Zitat:

Zitat von Reaper

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base2.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\Desc.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\spline.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\SpyGuarder.ini
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\yayaXRJd.dll

Na super