So! Zweiter Versuch. Virtumonde auf dem PC, löschen hilft ja nichts, da er sich immer wieder selber installiert. Die Google suche funktioniert auch nicht mehr, hoffe das liegt am Virtumonde. Die Pop-Ads kommen auch, hin und wieder geht auch ICQ offline.
Systemwiederherstellung nicht möglich, da ich keine Punkte gesetzt habe!

System: Windows XP

Bitte um Hilfe bei der Lösung des Problems!

Hallo TheNick und




Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Combofix Log:

ComboFix 08-06-20.4 - Niki 2008-06-30 20:42:44.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\fnts~1
C:\Programme\fnts~1\F?nts\
C:\Programme\fnts~1\rundll.exe
C:\Programme\icroso~1.net
C:\Programme\icroso~1.net\w?auboot.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\CcehPXbc.ini
C:\WINDOWS\system32\CcehPXbc.ini2
C:\WINDOWS\system32\ddcAstsr.dll
C:\WINDOWS\system32\ekwtywny.ini
C:\WINDOWS\system32\lyrohcou.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\rev2
C:\WINDOWS\system32\wEfNqqss.ini
C:\WINDOWS\system32\wEfNqqss.ini2
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\zxdnt3d.cfg

----- BITS: Possible infected sites -----

hxxp://updates.swarmcast.net
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR


((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 19:16 . 2008-06-30 19:16 103,424 --a------ C:\WINDOWS\system32\whqhbz.dll
2008-06-30 19:16 . 2008-06-30 19:16 103,424 --a------ C:\WINDOWS\system32\bxsxthte.dll
2008-06-30 19:07 . 2008-06-30 19:07 91,136 --a------ C:\WINDOWS\system32\iaysqcxa.dll
2008-06-30 19:07 . 2008-06-30 19:07 40,960 --a------ C:\WINDOWS\system32\bagnpvxa.dll
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 15:40 . 2008-06-30 15:40 40,960 --a------ C:\WINDOWS\system32\bpbhtvgt.dll
2008-06-30 15:31 . 2008-06-30 15:31 103,424 --a------ C:\WINDOWS\system32\jitbij.dll
2008-06-30 15:31 . 2008-06-30 15:31 103,424 --a------ C:\WINDOWS\system32\igsmtyuq.dll
2008-06-30 15:25 . 2008-06-30 15:25 91,136 --a------ C:\WINDOWS\system32\fjyasojc.dll
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat
2008-06-29 22:38 . 2008-06-29 22:38 103,424 --a------ C:\WINDOWS\system32\wvkdsjgo.dll
2008-06-29 22:38 . 2008-06-29 22:38 103,424 --a------ C:\WINDOWS\system32\qkerix.dll
2008-06-29 22:29 . 2008-06-29 22:29 40,960 --a------ C:\WINDOWS\system32\pegsuaye.dll
2008-06-29 22:23 . 2008-06-29 22:23 90,624 --a------ C:\WINDOWS\system32\pbbyxnpw.dll
2008-06-29 21:51 . 2008-06-29 21:51 401,965 --a------ C:\WINDOWS\system32\g63.exe
2008-06-29 21:51 . 2008-06-29 21:52 63,918 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll-uninst.exe
2008-06-29 16:26 . 2008-06-29 16:26 15,086 --a------ C:\WINDOWS\system32\FreePokerBonus.ico
2008-06-29 16:26 . 2008-06-29 16:26 13,502 --a------ C:\WINDOWS\system32\TuneclubIconDE.ico
2008-06-29 16:15 . 2008-06-29 20:02 <DIR> d--hs---- C:\WINDOWS\TmlraQ
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\modtrux01
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\mb9
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\Temp\syschk3
2008-05-27 15:31 . 2008-05-27 15:31 372,224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9976ec38-b6f2-4771-ad3e-9982444db87c}]
2008-06-30 19:16 103424 --a------ C:\WINDOWS\system32\whqhbz.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a9bdc0-4776-843e-16e1-4a5a3c2c4270}]
2008-05-27 15:31 372224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]
"{04eafbec-63a6-5101-cedf-b6d019a230c9}"="C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll" [2008-05-27 15:31 372224]
"BM4f18ff9f"="C:\WINDOWS\system32\iaysqcxa.dll" [2008-06-30 19:07 91136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 20:49:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\BWCSRV.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 20:52:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-30 18:52:08

18 Verzeichnis(se), 403,091,456 Bytes frei
20 Verzeichnis(se), 320,913,408 Bytes frei

195

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/55071-virtumonde-entfernen.html#post350669

Collect::
C:\WINDOWS\system32\whqhbz.dll
C:\WINDOWS\system32\bxsxthte.dll
C:\WINDOWS\system32\iaysqcxa.dll
C:\WINDOWS\system32\bagnpvxa.dll
C:\WINDOWS\system32\bpbhtvgt.dll
C:\WINDOWS\system32\jitbij.dll
C:\WINDOWS\system32\igsmtyuq.dll
C:\WINDOWS\system32\fjyasojc.dll
C:\WINDOWS\system32\wvkdsjgo.dll
C:\WINDOWS\system32\qkerix.dll
C:\WINDOWS\system32\pegsuaye.dll
C:\WINDOWS\system32\pbbyxnpw.dll
C:\WINDOWS\system32\g63.exe
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll-uninst.exe
C:\WINDOWS\system32\FreePokerBonus.ico
C:\WINDOWS\system32\TuneclubIconDE.ico

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9976ec38-b6f2-4771-ad3e-9982444db87c}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a9bdc0-4776-843e-16e1-4a5a3c2c4270}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{04eafbec-63a6-5101-cedf-b6d019a230c9}"=-
"BM4f18ff9f"=-
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann





Registierung ändern:

Start -> Ausführen -> regedit (eintippen - ENTER]

Folgenden Schlüssel aufsuchen und die Werte ändern ->

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 -> 0
"UpdatesDisableNotify"=dword:00000001 -> 0

Zip Datei gesendet.

Neues Log:

ComboFix 08-06-20.4 - Niki 2008-06-30 21:18:16.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:52 . 2008-06-30 20:52 0 --a------ C:\WINDOWS\BM4f18ff9f.xml
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat
2008-06-29 16:15 . 2008-06-29 20:02 <DIR> d--hs---- C:\WINDOWS\TmlraQ
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\modtrux01
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\mb9
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\Temp\syschk3
2008-05-27 15:31 . 2008-05-27 15:31 372,224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:19:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:20:07
ComboFix-quarantined-files.txt 2008-06-30 19:19:41
ComboFix2.txt 2008-06-30 19:12:40
ComboFix3.txt 2008-06-30 18:52:33

18 Verzeichnis(se), 330,510,336 Bytes frei
19 Verzeichnis(se), 319,787,008 Bytes frei

120

Nochmal ein neues Script:



Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

FILE::
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

FOLDER::
C:\WINDOWS\TmlraQ
C:\WINDOWS\system32\modtrux01
C:\WINDOWS\system32\mb9
C:\Temp\syschk3
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Neues Log:

omboFix 08-06-20.4 - Niki 2008-06-30 21:43:52.4 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Niki\Desktop\cfscript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\GameSpy Arcade Setup\Dokumente und Einstellungen\Programme\Autostart\Deewoo.lnk
C:\GameSpy Arcade Setup\Dokumente und Einstellungen\Programme\Autostart\DW_Start.lnk
C:\Temp\syschk3
C:\Temp\syschk3\tdirp5.log
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll
C:\WINDOWS\system32\mb9
C:\WINDOWS\system32\mb9\dragGLL1.exe
C:\WINDOWS\system32\modtrux01
C:\WINDOWS\system32\modtrux01\modtrux011065.exe
C:\WINDOWS\TmlraQ

----- BITS: Possible infected sites -----

hxxp://updates.swarmcast.net
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-06-30_20.51.48.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-30 18:48:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-30 19:24:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
MLB.TV NexDef Plug-in.lnk - C:\Programme\Autobahn\mlb-nexdef-autobahn.exe [2008-03-31 01:52:34 799496]
REALTEK RTL8185 Wireless LAN Utility.lnk - C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe [2008-03-02 02:42:04 675840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:46:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:47:09
ComboFix-quarantined-files.txt 2008-06-30 19:46:42
ComboFix2.txt 2008-06-30 19:20:08
ComboFix3.txt 2008-06-30 19:12:40
ComboFix4.txt 2008-06-30 18:52:33

18 Verzeichnis(se), 330,924,032 Bytes frei
20 Verzeichnis(se), 318,853,120 Bytes frei

146

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.



Gibt es noch Probleme mit dem System?

Ich empfehle dir noch einen Scan hiermit: (dauert aber etwas länger!)



Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Google funktioniert wieder, bis jetzt auch noch kein Popup!

Vielen Dank für die schnelle und kompetente Hilfe!

Schön das alles wieder funktioniert , nichts desto trotz solltest du Kaspersky nochmal ausführen.

Wahrscheinlich wurde durch eMule ein Trojan.Downloader eingeschleust, der widerum hat einen Vundo nachgeladen, somit war/ist der GAU komplett.
Es können also immer noch Reste auf dem System vorhanden sein!