Oder doch nicht... ??

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code: Alles auswählenAufklappen

   ATTFilter

   Folder::
   C:\WINDOWS\zts2.exe
   C:\WINDOWS\system32\iifgfgf.dll
   C:\WINDOWS\rundl132.dll
   File::
   C:\WINDOWS\Lic.xxx
   C:\WINDOWS\R.COM
   C:\WINDOWS\system32\T.COM
   Driver::
   Wbutton
            

2. Speichere dies als CFScript.txt auf Deinem Desktop
   .
   
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Also, ich habe die alte Combofix.exe gelöscht und die log Datei.
Danach habe ich es erneut heruntergeladen.
Ein Editor (leer) geöffnet und den Code kopiert, eingefügt und unter CFScript.txt gespeichert.
Dann habe ich die CFScript.txt Datei auf die Combofix.exe gezogen.
Fenster öffnet sich - ich auf "Ausführen" geklickt, dann hat es kurz geladen und danach ist nichts mehr passiert.

Jetzt ???

das ist komisch? alle av-progs deaktiviert?

versuch es nochmal bitte .

Sophos AntiVir und Firewall sind deaktiviert. Also alles was ich rechts unten in der Leiste habe.

Muss ich auch irgendwas mit
- Ad-Adware
- HijackThis
- RSIT
- Navilog
- Malware
machen???

Diese sind noch drauf, so wie ich sie vorhin nach Anleitung installieren und ausführen sollte.

Was genau sind Skript-Blocking???

Scriptblocking is eher was für browser.

Hast Du es nochmal versucht?

Ja, habe es gerade nochmal probiert, wieder das Selbe.
Erst fragt es nach Ausführen,
danach läd es die Balken und dann komm die Eieruhr es blinkt etwas und dann passiert nichts mehr...

combofix löschen,neu laden und ohne script starten.

Ich hab den PC nochmal herunter gefahren und dann erneut versucht.
Dann hat es funktioniert.
Während des Durchlaufs hat Combofix den PC Neu gestartet und beim wiederhochfahren hat sich die Firewall angestellt.. hab dann versucht sie schnell auszuschalten.
Dann kam die Log... Hat es funktioniert??? Oder noch ein Versuch???

ComboFix 08-09-05.03 - Kat 2008-09-07 23:11:11.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.213 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kat\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kat\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\rundl132.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\T.COM
C:\WINDOWS\zts2.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Wbutton


((((((((((((((((((((((( Dateien erstellt von 2008-08-07 bis 2008-09-07 ))))))))))))))))))))))))))))))
.

2008-09-07 20:33 . 2008-09-07 20:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-07 20:33 . 2008-09-07 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Kat\Anwendungsdaten\Malwarebytes
2008-09-07 20:33 . 2008-09-07 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-07 20:33 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-07 20:33 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-07 20:22 . 2008-09-07 20:43 <DIR> d-------- C:\Programme\NOS
2008-09-07 20:22 . 2008-09-07 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-09-07 20:15 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-07 20:13 . 2008-09-07 20:15 <DIR> d-------- C:\Programme\Java
2008-09-07 20:13 . 2008-09-07 20:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-09-07 17:40 . 2008-09-07 17:50 <DIR> d-------- C:\rsit
2008-09-07 12:34 . 2008-09-07 17:21 <DIR> d-------- C:\Programme\Navilog1
2008-09-06 17:29 . 2008-09-06 17:29 <DIR> d-------- C:\Programme\Trend Micro
2008-09-03 22:42 . 2008-09-03 22:42 <DIR> d-------- C:\Programme\Lavasoft
2008-09-03 22:42 . 2008-09-03 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-13 23:09 . 2008-08-13 23:10 <DIR> d-------- C:\Programme\Vokabel Trainer 2
2008-08-13 23:07 . 2008-08-13 23:07 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-08-13 22:44 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 22:42 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-07 21:22 225,914 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-09-07 19:00 --------- d-----w C:\Dokumente und Einstellungen\Kat\Anwendungsdaten\OpenOffice.org2
2008-09-07 18:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-07 16:00 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-07 14:43 --------- d-----w C:\Programme\Sophos
2008-09-03 20:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-01 19:51 --------- d-----w C:\Programme\ICQ6
2008-09-01 15:52 --------- d-----w C:\Programme\eMule
2008-08-30 15:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-30 15:16 --------- d-----w C:\Programme\GUILD WARS
2008-08-21 21:34 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-07-20 14:47 --------- d-----w C:\Dokumente und Einstellungen\Kat\Anwendungsdaten\Skype
2008-07-20 14:41 --------- d-----w C:\Dokumente und Einstellungen\Kat\Anwendungsdaten\skypePM
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-02-18 15:53 32 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-05-19 19:16 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051920080520\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-09-07_22.15.39.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-08 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-08 126976]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-03-02 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2004-11-11 49152]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2004-07-26 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-03-03 77824]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-05 185632]
"MCI USB Icon"="C:\WINDOWS\system32\USBIcon.exe" [2004-09-17 81920]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248]
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 134144]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 C:\WINDOWS\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-06-21 19:14 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14378:TCP"= 14378:TCP:BitComet 14378 TCP
"14378:UDP"= 14378:UDP:BitComet 14378 UDP

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
R2 SPF4;Sunbelt Personal Firewall 4;C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-07 23:22:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-07 23:27:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-07 21:27:03
ComboFix2.txt 2008-09-07 20:17:27

Pre-Run: 11 Verzeichnis(se), 15,782,596,608 Bytes frei
Post-Run: 14 Verzeichnis(se), 15,711,887,360 Bytes frei

165 --- E O F --- 2008-08-15 12:48:55

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

gruß

schrauber

Mmm... wie lange dauert das Updating the datebase??
Da stoppt es nämlich..

So langsam könnte ich den PC nehmen und ihn aus dem Fenster schmeisen !!!
:

Tue nichts, was du noch bereuen würdest.
Schrauber wird dein Problem sich schon zur Hand nehmen.

Ich weiß
Leider muss ich daran noch einige Hausarbeiten und BA Arbeit schreiben.. *seufz*
Aber warum geht das nicht weiter... steht seit Jahren auf 0 % ...

Das kann doch keine Stunde dauern!!!???
Updating the database(0%)...