Zitat:

woher weiß ich denn ob noch andere Hintergrundwächter mitlaufen?

Du hast ja nur AntiVir drauf. Beende den Wächter und nimm AntiVir aus dem Autostart: Start -> ausführen: msconfig -> #Enter# -> Autostart dort den Haken bei AntiVir rausnehmen und bestätigen.

Zitat:

heisst das, die Cd oder der USB wird auch nach dem Cobofix beendet wurde nicht mehr von alleine wiedererkannt?

nein. Erkannt werden sie natürlich trotzdem aber der Autostart, also das aufploppende Fenster mit den Auswahlmöglichkeiten wird nicht mehr automatisch gestartet. Du kannst es aber jederzeit manuell aufrufen. Diese Funktion ist imho sehr gut da sich viele Schädlinge heute unbemerkt über USB Sticks verbreiten indem sie sich in die Autorun.inf einschreiben. Hatte letztens erst einen Stick an meinem Rechner drann um meinem Kumpel was für die UNI drauf zu packen... Zum Glück hat Kaspersky schlimmeres verhindert...
AntiVir erkennt den Wurm auf seinem Rechner garnicht...

Zitat:

Zählt die Firewall von Windows auch dazu???

nein, die kann so bleiben wie sie ist.

Mh nächstes problem!!!
Im Tutorial steht ich soll für meine Windows version eine Widerherstellungskonsole downloaden und mit der Combofix.exe verheiraten!!
Jetzt gibt es auf der HP vonMS aber nur die Datei für XP Home incl. SP2 aber ich hab ja jetzt Service Pack 3 drauf gemacht!!!!

Kann ich ein anderes verwenden oder klappt das nicht???
What to do now?

Gruß Chris

Das sollte trotzdem klappen. Wüsste jedenfalls nicht warum nicht...

Ok hab ich versucht aber in dem Moment wo ich den Icon der Bootdisc auf den von Combofix ziehen will geht antivir wieder auf undmeldet, dass Combofix von Viren beafallen wäre und will sie in Quarantäne schicken!!!

Dann mach es aus..

Ok also der Scan ist ewas anders verlaufen als im Turtorial dargestellt aber mal sehen! Dummerweise hat sich AntiVir doch nach dem Neustart von alleine wieder geöffnet und ich musste kurz mit der Maus schließen! Hier ist das log hoffe du kannst was damit anfangen!!!

[code]
ComboFix 08-09-01.03 - XXX 2008-09-02 23:20:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.XXXX.3.XXXX.1.XXXX.18.654 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXXX\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\XXXX\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator.XXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\msacm32.drv
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\sdfixwcs.dll
C:\WINDOWS\system32\20074358511.CPX
C:\WINDOWS\system32\200743585112.CPX
C:\WINDOWS\system32\200743585121.CPX
C:\WINDOWS\system32\200743585131.CPX
C:\WINDOWS\system32\200743585151.CPX
C:\WINDOWS\wuasirvy.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-08-28 19:19 . 2005-08-18 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\WINDOWS
2008-08-28 19:19 . 2005-08-17 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Vorlagen
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Startmen�
2008-08-28 19:19 . 2007-09-12 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Netzwerkumgebung
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Lokale Einstellungen
2008-08-28 19:19 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Favoriten
2008-08-28 19:19 . 2008-08-30 12:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Eigene Dateien
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Druckumgebung
2008-08-28 19:19 . 2005-08-18 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\toshiba
2008-08-28 19:19 . 2005-08-18 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\Symantec
2008-08-28 19:19 . 2005-08-18 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\Sonic
2008-08-28 19:19 . 2005-08-18 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\MSN Search Toolbar
2008-08-28 19:19 . 2005-08-24 12:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten
2008-08-28 19:19 . 2008-08-28 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX
2008-08-28 18:30 . 2005-08-18 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-08-28 18:30 . 2005-08-17 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-08-28 18:30 . 2007-09-12 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-28 18:30 . 2008-08-28 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-25 21:15 . 2008-09-01 18:16 <DIR> d-------- C:\hijackthis
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-24 13:36 . 2008-08-24 13:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-24 13:26 . 2008-08-24 13:26 <DIR> d-------- C:\WINDOWS\EHome
2008-08-24 13:05 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-24 13:05 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-24 13:05 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-24 13:05 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-24 13:05 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-13 20:21 . 2008-08-13 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\ElsterFormular
2008-08-13 20:21 . 2008-08-13 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-13 20:20 . 2008-08-13 20:20 <DIR> d-------- C:\Programme\ElsterFormular
2008-08-13 18:43 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 18:33 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-13 17:47 . 2008-08-13 17:48 <DIR> d-------- C:\Programme\QuickTime
2008-08-13 17:06 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 16:30 . 2008-08-13 16:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-08-13 15:38 . 2008-08-13 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\.SunDownloadManager
2008-08-13 14:39 . 2008-08-13 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-13 14:39 . 2008-09-01 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\skypePM
2008-08-13 14:39 . 2008-08-13 14:39 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-08-13 14:10 . 2008-08-13 14:10 <DIR> d-------- C:\Programme\Secunia
2008-08-08 15:41 . 2008-08-08 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 18:48 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Skype
2008-08-28 15:58 --------- d-----w C:\Programme\Wisdom-soft AutoScreenRecorder Free
2008-08-27 17:49 --------- d-----w C:\Programme\ICQ6
2008-08-14 23:05 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\GetRight
2008-08-14 12:46 --------- d-----w C:\Programme\VideoLAN
2008-08-14 09:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-13 18:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-13 17:18 --------- d-----w C:\Programme\Java
2008-08-13 14:35 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\AdobeUM
2008-07-22 12:08 --------- d-----w C:\Programme\GetRight
2008-07-22 05:44 --------- d-----w C:\Programme\Avanquest update
2008-07-20 19:41 --------- d-----w C:\Programme\IrfanView
2008-07-18 18:46 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\ICQ
2008-07-13 14:03 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Ahead
2008-07-09 20:35 --------- d-----w C:\Programme\Ahead
2008-07-09 20:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-07-09 20:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-01-05 15:38 10 ----a-w C:\Programme\.autoreg
2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll
2008-04-14 02:22 50,688 --sh--w C:\WINDOWS\twain_32.dll
2008-04-14 02:22 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2008-04-14 02:22 57,344 --sha-w C:\WINDOWS\system32\msvcirt.dll
2008-04-14 02:22 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2008-04-14 02:22 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2008-04-14 02:22 551,936 --sha-w C:\WINDOWS\system32\oleaut32.dll
2008-04-14 02:22 84,992 --sha-w C:\WINDOWS\system32\olepro32.dll
2008-04-14 02:22 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-19 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-14 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-07-06 356352]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"aux1"= 20074358511.CPX

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXXX^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\XXXX\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-21 20:59 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-07-23 14:11 21738792 C:\Programme\Skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 Wdm1;USB Bridge Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2001-01-08 15576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9b26220-7bd3-11dc-a37b-0013ce3f8f8f}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9b26221-7bd3-11dc-a37b-0013ce3f8f8f}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\li7iuoid.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 23:58:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\system32\MLANG.dll
-> ?:\WINDOWS\system32\MLANG.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Toshiba\ConfigFree\CFSvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-03 0:03:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-02 22:03:40

Pre-Run: 16 Verzeichnis(se), 33,272,770,560 Bytes frei
Post-Run: 20 Verzeichnis(se), 33,356,492,800 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /TUTag=GBSRNJ

224 --- E O F --- 2008-08-24 15:38:08
[code]

Gruß Chris

Ha so und wie finde ich jetzt meine externen Speichermedie wieder?

Zitat:

Ha so und wie finde ich jetzt meine externen Speichermedie wieder?

Wie? So wie sonst auch. Im Explorer über den Arebeitsplatz..

Nun solltest du noch Scans mit SUPERAntiSpyware und Anti-Malware machen.

Und was ist mit dem Log???

Das ist O.k. sonst hätte ich schon was getextet. Aber poste bitte die anderen Beiden!

So leider hat es mal wieder etwas länger gedauert. Sorry!!!
Ich habe bemerkt, dass seit dem Combo fix die meldungen beim Hochfahren von Windows verschwunden sind allerdings tauchen jetzt unwillkürlich - jedoch nur manchmal - andere Meldungen von Anti Vir auf.

Mal sehen hier jetzt das Log aus SuperAntiSpyware.

[code]
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/10/2008 at 10:35 AM

Application Version : 4.21.1004

Core Rules Database Version : 3561
Trace Rules Database Version: 1549

Scan type : Complete Scan
Total Scan Time : 01:46:55

Memory items scanned : 507
Memory threats detected : 0
Registry items scanned : 6296
Registry threats detected : 0
File items scanned : 80383
File threats detected : 9

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adtech[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@webmasterplan[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adserver.71i[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@doubleclick[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@atwola[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.net-activities[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@2o7[1].txt
[code]

Gruß Chris

Poste noch das Anti-Malware log und natürlich die AntiVir Berichte.

so und jetzt anti malware

[code]
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 3

10.09.2008 11:53:52
mbam-log-2008-09-10 (11-53-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 120173
Laufzeit: 56 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
[code]

:aplaus:

du jetzt iss noch mehr drauf und ich glaube ich hab einiges geschächtet!!!
Wie mache ich denn am besten und sichersten den ganzen Rechner platt so, das ich mein XP neu aufsetzten kann und alles neu formatiert bekomme???

Gruß Chris

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!