Malwarebytes kann es nicht löschen ( Rogue.Multiple )

sven82 · 14.08.2008, 11:45

so und nun der ganze rest der file....

Code:

ATTFilter

----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B05A-517E

 Verzeichnis von C:\WINDOWS

14.08.2008  11:05             4.933 KB951978.log
14.08.2008  11:05         1.705.391 WindowsUpdate.log
14.08.2008  11:02                 0 0.log
14.08.2008  11:01               159 wiadebug.log
14.08.2008  11:01                50 wiaservc.log
14.08.2008  11:01             2.048 bootstat.dat
14.08.2008  01:26            26.994 SchedLgU.Txt
14.08.2008  01:26             1.374 imsins.log
14.08.2008  01:26           213.562 ntdtcsetup.log
14.08.2008  01:26           486.059 tsoc.log
14.08.2008  01:26            57.134 ocmsn.log
14.08.2008  01:26            53.967 tabletoc.log
14.08.2008  01:26           355.802 comsetup.log
14.08.2008  01:26         1.170.854 iis6.log
14.08.2008  01:26            20.322 KB952954.log
14.08.2008  01:26           185.491 netfxocm.log
14.08.2008  01:26           508.005 ocgen.log
14.08.2008  01:26            75.099 MedCtrOC.log
14.08.2008  01:26            52.936 msgsocm.log
14.08.2008  01:26         1.056.449 FaxSetup.log
14.08.2008  01:26           329.754 msmqinst.log
14.08.2008  01:26           180.438 updspapi.log
14.08.2008  01:26             1.374 imsins.BAK
14.08.2008  01:26            14.170 KB946648.log
14.08.2008  01:26            13.731 KB953839.log
14.08.2008  01:26            23.046 KB950974.log
14.08.2008  01:26            32.834 KB951072-v2.log
14.08.2008  01:26            13.628 KB952287.log
14.08.2008  01:26            19.590 KB953838-IE7.log
14.08.2008  01:25             7.884 KB951066.log
14.08.2008  00:12               552 WINCMD.INI
13.08.2008  17:18           374.451 setupapi.log
13.08.2008  10:24            38.527 spupdsvc.log
13.08.2008  10:23               359 DtcInstall.log
13.08.2008  10:23            20.037 wmsetup.log
13.08.2008  10:23             1.174 OEWABLog.txt
13.08.2008  10:22               187 spupdsvc.log.1.log
13.08.2008  10:22           760.626 setuplog.txt
13.08.2008  10:19           485.190 svcpack.log
13.08.2008  10:18           220.128 KB951748.log
13.08.2008  10:17           208.205 KB951698.log
13.08.2008  10:16           212.905 KB951376-v2.log
13.08.2008  10:14           203.642 KB950762.log
13.08.2008  10:13            22.083 KB942763.log
13.08.2008  10:09               373 cmsetacl.log
13.08.2008  10:09             1.334 sessmgr.setup.log
13.08.2008  09:46            22.103 avmfwlanci.log
11.08.2008  20:06               151 wcx_ftp.ini
29.07.2008  22:40               192 winamp.ini
27.07.2008  00:41             1.275 mozver.dat
24.07.2008  20:05                49 NeroDigital.ini
24.07.2008  18:51                 0 nsreg.dat
17.07.2008  23:51             1.006 DirectX.log
08.07.2008  18:54            23.040 KB950759-IE7.log
08.07.2008  18:51             9.325 KB927891.log
08.07.2008  18:51             5.648 KB929399.log
08.07.2008  18:51             8.253 KB950760.log
08.07.2008  18:50             5.373 KB939683.log
08.07.2008  18:50            13.801 KB930916.log
08.07.2008  18:50            16.791 KB950749.log
08.07.2008  18:49            18.172 KB932823-v3.log
07.07.2008  23:57             9.457 KB898461.log
07.07.2008  09:03               582 win.ini
28.06.2008  18:26               375 nsw.log
25.06.2008  16:07             5.820 avmadd321.log
25.06.2008  16:07             3.750 avminstcli.log
25.06.2008  16:07             4.954 avmsetup.log
25.06.2008  16:07             1.955 avmadd32.log
25.06.2008  16:07            11.146 avmacc.log
19.05.2008  22:33            44.952 KB947864-IE7.log
19.05.2008  22:26            27.530 KB938127-IE7.log
19.05.2008  22:25            36.504 KB937143-IE7.log
19.05.2008  22:24           293.832 msxml4-KB936181-deu.LOG
19.05.2008  22:19            19.417 KB928090-IE7.log
19.05.2008  22:16            15.617 wmp11.log
19.05.2008  22:16             6.419 KB926239.log
19.05.2008  22:15            26.007 WMFDist11.log
19.05.2008  22:14           316.640 WMSysPr9.prx
19.05.2008  22:11            15.831 ie7_main.log
19.05.2008  22:11           104.414 ie7.log
19.05.2008  22:09            48.137 IDNMitigationAPIs.log
19.05.2008  22:09            47.857 NLSDownlevelMapping.log
19.05.2008  22:08            49.978 KB915865.log
19.05.2008  22:08            48.372 XpsEPSC.log
19.05.2008  22:06            49.010 KB924941.log
19.05.2008  21:55            30.793 KB893803v2.log
19.05.2008  21:44                 0 Sti_Trace.log
19.05.2008  21:41             1.348 regopt.log
19.05.2008  21:41               231 system.ini
19.05.2008  20:56                87 djbcp.ini
19.05.2008  20:55                52 oobeact.log
19.05.2008  20:55             8.192 REGLOCS.OLD
19.05.2008  20:54           179.552 setupact.log
19.05.2008  20:54               625 setuperr.log
19.05.2008  20:50                 0 control.ini
19.05.2008  20:50             4.161 ODBCINST.INI
19.05.2008  20:48               749 WindowsShell.Manifest
19.05.2008  20:46                37 vbaddin.ini
19.05.2008  20:46                36 vb.ini
14.04.2008  07:53           288.768 winhlp32.exe
14.04.2008  07:53            32.866 slrundll.exe
14.04.2008  07:53           153.600 regedit.exe
14.04.2008  07:52            70.144 notepad.exe
14.04.2008  07:52            10.752 hh.exe
14.04.2008  07:52         1.036.800 explorer.exe
14.04.2008  07:52            50.688 twain_32.dll
29.12.2006  00:31            19.569 003016_.tmp
28.12.2006  01:02             7.031 instwcli.inf
04.08.2004  01:59         1.014.663 SET3.tmp
04.08.2004  01:55            14.043 SET8.tmp
04.08.2004  01:53         1.086.058 SET4.tmp
26.07.2004  05:21            58.640 zllsputility.exe
13.03.2004  12:11                 0 graphedt.INI
18.08.2001  16:00            25.600 twunk_32.exe
18.08.2001  16:00            65.832 Santa Fe-Stuck.bmp
18.08.2001  16:00            17.362 Rhododendron.bmp
18.08.2001  16:00            65.954 Pr„riewind.bmp
18.08.2001  16:00            18.944 vmmreg32.dll
18.08.2001  16:00            94.800 twain.dll
18.08.2001  16:00             1.272 Blaue Spitzen 16.bmp
18.08.2001  16:00            17.336 Angler.bmp
18.08.2001  16:00            82.944 clock.avi
18.08.2001  16:00             1.405 msdfmap.ini
18.08.2001  16:00                 2 desktop.ini
18.08.2001  16:00            17.062 Kaffeetasse.bmp
18.08.2001  16:00            65.978 Seifenblase.bmp
18.08.2001  16:00           257.568 winhelp.exe
18.08.2001  16:00            15.872 TASKMAN.EXE
18.08.2001  16:00            48.680 winnt.bmp
18.08.2001  16:00            48.680 winnt256.bmp
18.08.2001  16:00            49.680 twunk_16.exe
18.08.2001  16:00            26.582 Granit.bmp
18.08.2001  16:00            34.818 wmprfDEU.prx
18.08.2001  16:00            26.680 F„cher.bmp
18.08.2001  16:00            16.730 Feder.bmp
18.08.2001  16:00                80 explorer.scf
18.08.2001  16:00             9.522 Zapotek.bmp
18.08.2001  16:00               707 _default.pif
01.08.1995  04:44           212.480 PCDLIB32.DLL
             139 Datei(en)     15.768.641 Bytes
               0 Verzeichnis(se), 63.041.646.592 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B05A-517E

 Verzeichnis von C:\WINDOWS\tasks

14.08.2008  11:01                 6 SA.DAT
08.08.2008  15:01               408 Norton Security Scan.job
18.08.2001  16:00                65 desktop.ini
               3 Datei(en)            479 Bytes
               0 Verzeichnis(se), 63.041.646.592 Bytes frei
 
----- Wintemp -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B05A-517E

 Verzeichnis von C:\WINDOWS\temp

 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: B05A-517E

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

14.08.2008  11:26           122.948 filelist.txt
14.08.2008  11:11           114.688 ~DF328C.tmp
14.08.2008  11:07               634 filelist.zip
14.08.2008  11:06               346 jusched.log
14.08.2008  11:03                 0 etilqs_NrV7PkJkexjl6qkRbt1r
14.08.2008  11:01            16.384 ~DFF3A0.tmp
13.08.2008  23:30            16.384 ~DF6478.tmp
13.08.2008  19:59           212.843 hijackthis_199.zip
31.10.2006  01:00           145.184 ose00000.exe
26.07.2002  05:07           346.602 IEC77.tmp
              10 Datei(en)        976.013 Bytes
               0 Verzeichnis(se), 63.041.642.496 Bytes frei

wenn ich das alles bezahlen müsste (deine Bemühungen) wäre ich sicherlich schon arm!!!

Danke!

nochdigger · 14.08.2008, 21:21

Hallo

ich zitier mich mal selbst.....

Zitat:

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:

Ich hab mir jetzt auch nur die letzten Wochen angeschaut, lade dir mal den CCleaner und lass dein System entmüllen

, lass auch die Registry bereinigen.
Kontrolliere anschließend bitte den Ordner
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

ob diese Dateien mitgelöscht wurden

etilqs_NrV7PkJkexjl6qkRbt1r
ose00000.exe

wenn nicht bitte händisch löschen.

Zitat:

wenn ich das alles bezahlen müsste (deine Bemühungen) wäre ich sicherlich schon arm!

So würdest du nicht werden, mein Stundesnsatz bewegt sich als Wartungstechniker unter 20€

Wie stehts mit den Popups gibt es noch Probleme?

MFG

sven82 · 15.08.2008, 00:13

habe alles mit dem CCleaner bereinigt..

Mit den popups geht es soweit gut also ich meine es kommen eben keine.

Die datei 00000.exe habe ich auch gelöscht.

Ich würde dich trotzdem nochmal bitten dir zur sicherheit mein aktuell frischen hijack anzusehen ob nun wirklich alles in Ordnung ist .......Ich möchte auf nummer sicher gehen.
Über tipps bzw. programme die ich sonst noch benötige zum schutz davor (deine empfehlungen) würde ich mich noch sehr freuen.....

hier aber noch mal hijack:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:06:11, on 15.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?AuthParam=1215634448_753d0308518b914ae3146029990155f7&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&File=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS3\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 9761 bytes

Vielen dank!!!! Du hast mir wirklich sehr geholfen!!!!
Ps: sollte ich vllt auch noch mal Malwarebyte und blacklight laufen lassen ????
Oder auch ne neue filelist ???

nochdigger · 15.08.2008, 05:38

Moin

Zitat:

sollte ich vllt auch noch mal Malwarebyte und blacklight laufen lassen ?
Oder auch ne neue filelist ?

sollte nicht nötig sein.

Zitat:

Ich würde dich trotzdem nochmal bitten dir zur sicherheit mein aktuell frischen hijack anzusehen ob nun wirklich alles in Ordnung ist .......Ich möchte auf nummer sicher gehen.

Eine Aussage zu treffen ob ein System sauber ist, weil das Hijack Log sauber ist, währe gewagt, in deinem Log ist nix zu finden.

Zitat:

Über tipps bzw. programme die ich sonst noch benötige zum schutz davor (deine empfehlungen) würde ich mich noch sehr freuen.....

Programmtips gebe ich nicht sooo gerne, aber Malwarebytes als zusätzliches Scanprogramm finde ich nicht schlecht.
Was zu lesen --> Malte J. Wetz Online

Irgendwie hab ichs verissen

ich hatte dich, glaub ich, falsch verstanden
lass bitte die Datei

C:\install.cmd

doch noch auswerten, eventuell schiessen wir sie dann mit Avenger ab

.

MFG

sven82 · 15.08.2008, 15:05

Hallo,

Ich habe C:\install.cmd bei jotti scannen lassen. Dort wurde kein virus gefunden.

ich habe auch noch mal neu navilog erstell, Blacklight durchlaufen lassen und malwarebyte suchen lassen .

Mit CCleaner habe ich alle windows sachen und auch die registry bereinigen lassen.

alle log´s poste ich nochmal da ich nicht verstehe das malwarebyte immernoch den gleichen treffer meldet......

Malwarebyte:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 3

15:50:54 15.08.2008
mbam-log-8-15-2008 (15-50-31)neu

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37968
Laufzeit: 5 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> No action taken.

Blacklight:

Code:

ATTFilter

08/15/08 14:48:20 [Info]: BlackLight Engine 1.0.70 initialized
08/15/08 14:48:20 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/15/08 14:48:21 [Note]: 7019 4
08/15/08 14:48:21 [Note]: 7005 0
08/15/08 14:48:23 [Note]: 7006 0
08/15/08 14:48:24 [Note]: 7011 1296
08/15/08 14:48:24 [Note]: 7035 0
08/15/08 14:48:24 [Note]: 7026 0
08/15/08 14:48:24 [Note]: 7026 0
08/15/08 14:48:29 [Note]: FSRAW library version 1.7.1024
08/15/08 14:55:05 [Note]: 7007 0

Navilog:

Code:

ATTFilter

Search Navipromo version 3.6.3 began on 15.08.2008 at 14:56:12,81

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Administrator" 

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 15.08.2008 at 14:59:39,14 ***

Warum ist das so ???? --> DAS INTERNET IST GEGEN MICH <--

PS: Malwarebyte sagt dann immer nach der aktion "entferne Auswahl"
Infizierte Dateien:
"C:\Install (Rogue.Multiple) -> delete on reboot."

wie oft soll ich aber rebooten ???? Löschen kann es malwarebyte ja trotzdem nicht...

Langsam verzweifele ich............

sven

sven82 · 15.08.2008, 20:13

Hallo nochdigger,
Danke für den link " was zu lesen ". Ich habe mich mit der seite beschäftigt und muss leider zugeben das ich null ahnung von linux usw habe....
jedoch sind einige sachen sehr interresant.. schau dann bitte noch mal in deinem Nachrichtenfach... ( will das nicht öffentlich posten falls ich da was falsch verstanden habe

)

Ich habe mal noch antivir laufen lassen unter "experteneinstellungen";"agressiv suchen lassen" ( habe ich nachgelesen hier im board ) und siehe da was avira gefunden hat.....

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 15. August 2008  18:37

Es wird nach 1552297 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     MICROSOFT

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 17:54:34
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 17:54:34
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 17:54:34
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 17:54:34
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 17:51:06
ANTIVIR2.VDF  : 7.0.6.10     2587136 Bytes  14.08.2008 20:43:48
ANTIVIR3.VDF  : 7.0.6.16       16896 Bytes  14.08.2008 20:43:49
Engineversion : 8.1.1.19  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.63      311673 Bytes  07.08.2008 20:43:52
AESCN.DLL     : 8.1.0.23      119156 Bytes  16.07.2008 17:50:34
AERDL.DLL     : 8.1.0.20      418165 Bytes  29.06.2008 17:51:12
AEPACK.DLL    : 8.1.2.1       364917 Bytes  16.07.2008 17:50:34
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 12:54:49
AEHEUR.DLL    : 8.1.0.47     1368437 Bytes  07.08.2008 20:43:51
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.06.2008 17:51:09
AEGEN.DLL     : 8.1.0.35      315764 Bytes  07.08.2008 20:43:50
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31.07.2008 20:43:21
AECORE.DLL    : 8.1.1.8       172406 Bytes  31.07.2008 20:43:20
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 17:54:35
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 17:54:34
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 17:54:34
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 20:43:16
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 17:54:34
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 17:54:34
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 17:54:34
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 17:54:31
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 17:54:31

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 15. August 2008  18:37

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '37872' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NkbMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorShield.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{87D3AC37-169A-40C5-B1B0-A0F4CE70816D}\RP179\A0017408.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d5b700.qua' verschoben!
C:\System Volume Information\_restore{87D3AC37-169A-40C5-B1B0-A0F4CE70816D}\RP201\A0018428.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> AAComp~1.cab
        [1] Archivtyp: CAB (Microsoft)
        --> M_AA2_WeaponsCache.usx.fz
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\atapi.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <platte2 -1>
Beginne mit der Suche in 'F:\' <platte2-2>


Ende des Suchlaufs: Freitag, 15. August 2008  19:38
Benötigte Zeit:  1:00:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   4140 Verzeichnisse wurden überprüft
 197907 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 197903 Dateien ohne Befall
   1841 Archive wurden durchsucht
      4 Warnungen
      1 Hinweise
  37872 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Ich habe TR/Dropper.Gen ( mit avira ) zwar gelöscht aber wie kann es sein das es vorher sichtbar gewesen ist??

Nun bin ich aber etwas verwirrt

Hijack ist ok ???!! (kann es nicht finden richtig??? habe ich jedenfalls auch hier nachgelesen...)

Kommt daher evtl auch die infektion die in Malwarebytes gefunden wird ??? ( seite " 2 " )

Was sagt nun blacklight im o.g. log ??? ( seite " 2 " )

Ich bin sogar sehr verwirrt...

Bitte hilf mir...---> führe mich vom dunkeln ins licht <---
Danke..

Nach erneutem suchlauf mit avira nichts mehr gefungen.....*nix mehr versteh*

nochdigger · 15.08.2008, 21:21

Hallo

Zitat:

führe mich vom dunkeln ins licht

Na dann werd ich dir mal heimleuchten

versuche bitte im abgesicherten Modus (beim start F8 drücken) diese Datei
C:\install.cmd
in einen von dir angelegten Ordner zu verschieben.

Zitat:

Hijack ist ok ?

Dein Hijack Log war/ist unauffällig

Zitat:

Ich habe mal noch antivir laufen lassen...und siehe da was avira gefunden hat.....

Der "Schädling" ist mitgesichert worden in der Systemwiederherstellung, um ihn loszuwerden deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

MFG

sven82 · 16.08.2008, 11:04

Haollo nochdigger,

ich habe die systemwiederherstellung aus gemacht und alles befolgt wie es dort steht.

Im abgesicherten modus habe ich dann auch noch mal mbam laufen lassen was aber da nichts gefunden hat...

nach dem neustart im " normalbootmodus " lies ich mbam noch mal zur kontrolle laufen und die infektion war wieder da.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 3

01:00:38 16.08.2008
mbam-log-8-16-2008 (01-00-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37665
Laufzeit: 5 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Delete on reboot.

wie können wir jetzt noch weiter fortfahren ??

sven

nochdigger · 16.08.2008, 16:07

Hallo

dann lade dir bitte Avenger runter
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text (inhalt der Codebox) in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\install.cmd

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

MFG

sven82 · 16.08.2008, 16:33

Hallo nochdigger,

Hier die logfile von Avenger:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\install.cmd" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

ich hatte den avenger auch so schon mal runtergeladen ( du sagtest/schriebst ) das wir dann mit avenger abschliessen.

Hier mal die logfile vom 1. scan:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

Leider findet mbam immernoch die infizierung...........

Sven

sven82 · 17.08.2008, 11:04

Hallo nochdigger,

die log`s sehen für mich als nichtprofi gut aus.

was könnte man nun noch machen ??
Ich lese immer mal wieder combofix.......

Es damit mal versuchen ????

LG sven

nochdigger · 17.08.2008, 21:16

Hallo

Zitat:

Ich lese immer mal wieder combofix.......

Hm, Combofix hatte ich auch schon überlegt, was mich aber ein wenig (Mücke auf der Tastatur breitgeschlagen

) stuzig macht ist, dass die Datei von 2004 sein soll.
Was für Informationen erhälst du, wenn du die Datei mit der rechten Maustaste anklickst und nach den Eigenschaften schaust?

MFG

myrtille · 17.08.2008, 21:32

Hi,

würdest du mir zuliebe bitte ein filelisting mit diesem script erstellen: - Script abspeichern per Rechtsklick, speichern unter auf dem Desktop - Doppelklick auf listing7.cmd auf dem Desktop - nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

sven82 · 17.08.2008, 23:35

hallo myrtille,

Hier schon mal die gewünschten sachen...

HTML-Code:

http://www.file-upload.net/download-1050163/listing.txt.html

Ich hoffe ihr könnt was daraus lesen....

ps: Ich hoffe es ist so richtig.....
Lg Sven

sven82 · 17.08.2008, 23:52

Hallo nochdigger,

Also wenn ich die eigenschaften wähle bekomme ich folgende infos:

Typ : Ordner

Ort : C:\

Grösse: 99,8 MB (104.661.852 Bytes)

Grösse auf datenträger : 99,8 MB (104.714.240 Bytes)

Inhalt: 19 Dateinen, 8 Ordner

Attribute: Schreibgeschützt

Erstellt: 19.MAI 2008

Naja drin steckt das alles ......

NERO ., Ultra DVD, WINAMP; WINRAR, regtweak, CodePack, AcrobatReader;
ZoneAlarm ( aber nicht aktiv ) naja und ein programm das wohl nicht so doll ist .... Alcohol120%

Sind das die gewünschten Infos ????

Lg Sven

Malwarebytes kann es nicht löschen ( Rogue.Multiple )

Log-Analyse und Auswertung: Malwarebytes kann es nicht löschen ( Rogue.Multiple )