Habe ComboFix mehrmals ausprobiert. Das System wird nicht neu gestartet.
Füge Hardcopy der Virenmeldungen bei.

Befolge das, was dir Sunny raet, dann klappt das auch mit Combofix:

Zitat:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen

Also deaktiviere den Antivir Guard, waehrend Combofix laeuft...

Das sieht alles sehr merkwürdig aus, aber wir geben nicht auf:



Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Bin wieder da und habe zwischenzeitlich GMER arbeiten lassen. Hier die Log-Datei:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-14 20:56:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F7D0775C                  ZwCreateThread
SSDT            F7D07748                  ZwOpenProcess
SSDT            F7D0774D                  ZwOpenThread
SSDT            F7D07757                  ZwTerminateProcess
SSDT            F7D07752                  ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
         

Vielleicht suche ich auch nur die "Nadel im Heuhaufen", aber meiner Ansicht nach ist da noch etwas in deinem System...

Sicherlich wird Malwarebytes einiges entfernt haben, auch das Hauptproblem wieso du eigentlich hier bist, aber ich frage mich, was ist das für eine Datei?

Zitat:

C:\WINDOWS\system32\sol629.txt

Und die anderen beiden haben wir ja auch gesehen sind ebenfalls schädlich und lassen sie nicht löschen!


Ok, letzter Versuch:


Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\system32\sol629.txt
C:\WINDOWS\system32\vcguzc.dll
C:\WINDOWS\system32\scnajfut.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Vielleicht kommt jetzt etwas mehr Licht ins Dunkel. ComboFix hat funktioniert. Hier die Log-Datei.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-07-13.14 - Heinzelmann 2008-07-14 21:04:07.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.183 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Heinzelmann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ocmatuqk.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-06-14 bis 2008-07-14  ))))))))))))))))))))))))))))))
.

2008-07-14 20:51 . 2008-07-14 20:51	250	--a------	C:\WINDOWS\gmer.ini
2008-07-14 20:13 . 2008-07-14 20:13	<DIR>	d--------	C:\Programme\Sophos
2008-07-12 14:05 . 2008-07-12 14:05	<DIR>	d--------	C:\_OTMoveIt
2008-07-12 11:12 . 2008-07-12 11:12	<DIR>	d--------	C:\Deckard
2008-07-12 09:51 . 2008-07-12 09:51	69	--a------	C:\WINDOWS\NeroDigital.ini
2008-07-12 09:46 . 2008-07-12 09:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Ahead
2008-07-12 08:04 . 2008-07-12 08:04	<DIR>	d--------	C:\Programme\CCleaner
2008-07-12 01:02 . 2008-07-12 01:02	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Malwarebytes
2008-07-12 01:01 . 2008-07-12 01:01	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 01:01 . 2008-07-12 01:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 01:01 . 2008-07-07 17:35	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 01:01 . 2008-07-07 17:35	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 23:18 . 2008-07-11 23:18	<DIR>	dr-------	C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-07-11 23:18 . 2008-07-11 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-10 22:28 . 2008-07-10 22:28	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Nero
2008-07-10 22:25 . 2008-07-10 22:25	316,640	--a------	C:\WINDOWS\WMSysPr9.prx
2008-07-10 22:23 . 2005-10-18 22:03	3,031,040	---------	C:\WINDOWS\UNNeroVision.exe
2008-07-10 22:23 . 2005-11-25 19:45	119,771	---------	C:\WINDOWS\UNNeroVision.cfg
2008-07-10 22:23 . 2001-03-08 18:30	24,064	---------	C:\WINDOWS\system32\msxml3a.dll
2008-07-10 22:22 . 2008-07-10 22:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-07-10 22:22 . 2004-07-20 16:24	1,568,768	---------	C:\WINDOWS\system32\ImagX7.dll
2008-07-10 22:22 . 2004-07-20 16:24	476,320	---------	C:\WINDOWS\system32\ImagXpr7.dll
2008-07-10 22:22 . 2004-07-20 16:24	471,040	---------	C:\WINDOWS\system32\ImagXRA7.dll
2008-07-10 22:22 . 2004-07-09 08:43	364,544	---------	C:\WINDOWS\system32\TwnLib4.dll
2008-07-10 22:22 . 2004-07-20 16:24	262,144	---------	C:\WINDOWS\system32\ImagXR7.dll
2008-07-10 22:22 . 2000-06-26 10:45	106,496	---------	C:\WINDOWS\system32\TwnLib20.dll
2008-07-10 22:22 . 2001-06-26 07:15	38,912	---------	C:\WINDOWS\system32\picn20.dll
2008-07-10 22:21 . 2008-07-10 22:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Ahead
2008-07-10 22:21 . 2008-07-10 22:21	<DIR>	d--------	C:\Programme\Ahead
2008-07-10 21:30 . 2008-07-10 21:30	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 20:37 . 2008-07-10 20:37	29	--a------	C:\WINDOWS\standard.sta
2008-07-09 01:05 . 2008-07-09 01:05	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\TmpRecentIcons
2008-07-08 05:28 . 2008-02-22 02:33	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-07-05 11:01 . 2008-05-24 12:52	475,136	--a------	C:\WINDOWS\system32\vmlSGrid4.ocx
2008-07-05 11:01 . 2008-05-22 21:26	405,504	--a------	C:\WINDOWS\system32\vmlCmdBar5.ocx
2008-06-25 17:17 . 2008-06-25 17:17	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\OpenOffice.org2
2008-06-25 17:13 . 2008-06-25 17:13	<DIR>	d--------	C:\Programme\OpenOffice.org 2.4
2008-06-25 17:00 . 2008-06-25 17:01	<DIR>	d--------	C:\WINDOWS\Downloaded Installations
2008-06-24 11:03 . 2008-06-24 11:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\EssentialPIM

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-12 06:28	36,736	----a-w	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-04 08:44	3,063,808	----a-w	C:\WINDOWS\system32\PEGRPDL.DLL
2008-05-16 09:58	12,632	----a-w	C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 04:00 98304]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 04:19 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update Scheduler.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update Scheduler.lnk
backup=C:\WINDOWS\pss\VIWAS-Update Scheduler.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update.lnk
backup=C:\WINDOWS\pss\VIWAS-Update.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ViwasService"=2 (0x2)
"McTaskManager"=2 (0x2)
"McShield"=2 (0x2)
"LckFldService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\5.tmp []
S4 ViwasService;VIWAS Updatedienst;C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-14 21:07:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\5.tmp"
.
         

Und noch eine Log-Datei. Diesmal von avenger

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\sol629.txt" not found!
Deletion of file "C:\WINDOWS\system32\sol629.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\vcguzc.dll" not found!
Deletion of file "C:\WINDOWS\system32\vcguzc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\scnajfut.dll" not found!
Deletion of file "C:\WINDOWS\system32\scnajfut.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Ok, scheint dann doch soweit alles klar zu sein.

Jetzt noch die Programme wie folgt deinstallieren:


1.)

Starte OtmoveIt und kopiere diesen Text in die weiße Box:

Code: Alles auswählenAufklappen

ATTFilter

MEMSWEEP2 <delete service>
         

Dann den Moveit-Button klicken und das Programm schließen, danach OtmoveIt wieder starten und den grünen "Clean-Up" Button klicken!


2.)


Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.


3.)

Beschreibe nochmal ob es noch irgendwelche Probleme gibt mit dem System...

Die Programme sind vom Rechner runter und der Rechner wurde neu gestartet. Weder beim Neustart noch beim Aufrufen verschiedener Programme kam (bisher) eine Meldung von AntiVir. Hoffen wir, dass Sie alles gefunden haben. Ich werde mich am Wochenende nochmals kurz melden und eine Info geben, ob alles wieder wie gewohnt läuft. Ich darf mich jedenfalls bei Ihnen (und allen anderen, die evtl. mitgearbeitet und mir geholfen haben) ganz herzlich für die Unterstützung und insbesondere auch für die Geduld die Sie aufgebracht haben, recht herzlich bedanken. brat.wurst