Hi zusammen,
erstmal danke ans Forum, hab mich zwar grade erst registriert, aber die anderen Topics haben mir schon sehr geholfen!

Also, ich habe die letzten paar Stunden damit verbracht die Ärsche einiger Trojaner (z.B. auch TR/FakeAV.AM) zu kicken. Nun ist es so, dass ich mehrere Sachen mehrmals laufen hab lassen um Viren, Trojaner und Rootkits loszuwerden, die mich gestern in einer Art Sturmangriff überfallen haben.
Ich habe neben Avira Antivirus den Trojan Remover, Malwarebytes und zu guter letzt, als es zwar besser wurde aber ein/zwei Rootkit Agents oder sowas einfach nicht gelöscht werden konnten, noch SDFix benutzt.

Nun ist es endlich so, dass kein einziges der genannten Programme noch irgendwas "Böses" auf meinem Rechner entdeckt.

Meine Frage ist nun, da (Bin leider kein PC-Crack) meineswissens Rootkits, von denen anscheinend mind. eins auf meinem Rechner drauf war (TDSSserv), ja eben genau so arbeiten, dass sie vom Benutzer nicht entdeckt zu werden versuchen und auch spätere Übergriffsversuche verschleiern, wie hoch denn ungefähr die Wahrscheinlichkeit ist, noch infiziert zu sein, obwohl oben genannte Programme alle nichts mehr entdecken!

Ich weiß hundertprozentige Sicherheit gibt es nicht, aber nachdem ich mir so viel Arbeit mit dem Crap gemacht hab, würd ich jetzt nur sehr ungern meinen PC neu aufsetzen bloß um sicher zu gehen....

Merci im Voraus!
Gruß,
Barney

Hallo barney

Also bei der TDSSserv tendiere ich dazu den Rechner platt zu machen aber das ist dein Entscheidung.

Folgendes kann man nochmal drübergucken lassen:

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

http://www.trojaner-board.de/59299-a...-new-post.html

Also, Blacklight hat auch nix gefunden
Ist das der Log?

09/09/08 16:02:10 [Info]: BlackLight Engine 1.0.70 initialized
09/09/08 16:02:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/08 16:02:11 [Note]: 7019 4
09/09/08 16:02:11 [Note]: 7005 0
09/09/08 16:02:25 [Note]: 7006 0
09/09/08 16:02:25 [Note]: 7011 1276
09/09/08 16:02:25 [Note]: 7035 0
09/09/08 16:02:26 [Note]: 7026 0
09/09/08 16:02:26 [Note]: 7026 0
09/09/08 16:02:34 [Note]: FSRAW library version 1.7.1024
09/09/08 16:16:54 [Note]: 7007 0


naja, mach gleich mit GMER weiter!
kannst du mir evtl. sagen wieso du bei TDSSserv zu platt machen tendierst?
Und zu Combofix: Falls nun die anderen Programme recht haben und mein PC sauber is, ist Combofix da nicht riskant? Hab ich zumindest aus anderen Threads rausgelesen....

Gmer liefert folgendes...

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-09 16:41:59
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT FB1C41E4 ZwCreateThread
SSDT FB1C41D0 ZwOpenProcess
SSDT FB1C41D5 ZwOpenThread
SSDT FB1C41DF ZwTerminateProcess
SSDT FB1C41DA ZwWriteVirtualMemory

---- EOF - GMER 1.0.14 ----

Hallo?
Noch einer da, der sich auskennt und seinen Senf dazu geben will?
Kann auch mit dem Ergebnis von GMER ehrlich gesagt überhaupt nichts anfangen....

Hier der ComboFix-Log!

ComboFix 08-09-05.12 - tristan 2008-09-09 23:13:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.71 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tristan\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.

2008-09-09 22:58 . 2008-09-09 22:58 <DIR> d-------- C:\Programme\CCleaner
2008-09-09 16:25 . 2008-09-09 16:33 250 --a------ C:\WINDOWS\gmer.ini
2008-09-09 14:21 . 2008-09-09 14:21 <DIR> d-------- C:\Programme\Avira
2008-09-09 04:18 . 2008-09-09 04:18 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-09 04:11 . 2008-09-09 14:18 <DIR> d-------- C:\SDFix
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Malwarebytes
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 03:33 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 03:33 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 02:22 . 2008-09-09 02:24 <DIR> d-------- C:\Programme\Trojan Remover
2008-09-09 02:22 . 2008-09-09 02:22 <DIR> d-------- C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Simply Super Software
2008-09-09 02:22 . 2008-09-09 02:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-09-09 02:22 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-09-09 02:22 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-09-09 02:22 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-09-09 02:22 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-09-09 02:22 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino3.ico
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino2.ico
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino1.ico
2008-09-08 19:21 . 2008-09-08 19:21 15,360 --a------ C:\WINDOWS\system32\tdsspopup.dll
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup3.url
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup2.url
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup1.url
2008-08-18 03:15 . 2008-08-23 02:57 <DIR> d-------- C:\Programme\Full Tilt Poker

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 11:58 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-09 01:41 --------- d-----w C:\Programme\ICQToolbar
2008-09-08 15:49 --------- d-----w C:\Programme\PokerStars
2008-08-28 15:15 --------- d-----w C:\Programme\ICQ6
2008-08-18 01:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-17 12:58 --------- d-----w C:\Programme\SanDisk
2008-07-13 20:16 --------- d-----w C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\phonostar-Player
2008-07-13 20:14 --------- d-----w C:\Programme\phonostar
2008-07-13 00:38 --------- d-----w C:\Programme\PartyGaming
2008-07-10 13:27 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 68856]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-12-05 126976]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-25 185896]
"SansaDispatch"="C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe" [2007-05-02 55368]
"TrojanScanner"="C:\Programme\Trojan Remover\Trjscan.exe" [2008-09-09 917072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=


*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Mozilla\Firefox\Profiles\5zwasa3q.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www0.pafnet.de/index.html
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 23:15:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\System32\CSCDLL.dll
.
Zeit der Fertigstellung: 2008-09-09 23:17:58
ComboFix-quarantined-files.txt 2008-09-09 21:17:51

Pre-Run: 13 Verzeichnis(se), 25,966,944,256 Bytes frei
Post-Run: 16 Verzeichnis(se), 25,960,095,744 Bytes frei

122 --- E O F --- 2008-08-14 18:47:31

Is da jetzt alles in Ordnung, ich bin auf jeden Fall schön langsam ganz schön im Arsch, hoffe die Action war wenigstens erfolgreich!

Habe jetzt also noch Blacklight, Germ, Ccleaner und Combofix laufen lassen, also zurück zu meiner ursprünglichen Frage!
Ich weiß es ist viel los bei euch, aber ich hoffe, dass sich noch mal einer meiner erbarmt!

Das sieht doch ganz gut aus. Da sind im CF log einige dll Dateien die nicht in Ordnung sind. Ich gehe aber davon aus, dass die bei den vorherigen Scans gelöscht wurden. Poste uns die logs und wir gucken nochmal nach..

also, quasi Combofix nochmal laufen lassen und den neuen Log posten, oder wie meinst du das?

Ne. Die hier:

Zitat:

Nun ist es so, dass ich mehrere Sachen mehrmals laufen hab lassen um Viren, Trojaner und Rootkits loszuwerden, die mich gestern in einer Art Sturmangriff überfallen haben.
Ich habe neben Avira Antivirus den Trojan Remover, Malwarebytes und zu guter letzt, als es zwar besser wurde aber ein/zwei Rootkit Agents oder sowas einfach nicht gelöscht werden konnten, noch SDFix benutzt.

SDFix:


SDFix: Version 1.222
Run by tristan on 10.09.2008 at 15:28

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 15:43:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Wed 4 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE"
Wed 4 Aug 2004 4,639 A.SH. --- "C:\Programme\Windows Media Player\mplayer2.exe"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\Programme\Windows Media Player\wmplayer.exe"
Thu 12 Apr 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"

Finished!

AntiVir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. September 2008 15:54

Es wird nach 1606493 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: M

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 21:27:58
ANTIVIR3.VDF : 7.0.6.136 291840 Bytes 09.09.2008 21:28:00
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 09.09.2008 21:28:05
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.1.1 397683 Bytes 09.09.2008 21:28:05
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 09.09.2008 21:28:03
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 09.09.2008 21:28:03
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 09.09.2008 21:28:01
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 09.09.2008 21:28:01
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 09.09.2008 21:28:00
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 10. September 2008 15:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SansaDispatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 10. September 2008 16:36
Benötigte Zeit: 42:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3902 Verzeichnisse wurden überprüft
169863 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
169861 Dateien ohne Befall
599 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Malwarebytes, hat jetzt doch wieder was gefunden... :-(


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 2

10.09.2008 16:58:25
mbam-log-2008-09-10 (16-58-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 38710
Laufzeit: 3 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.

Trojan Remover Log ist zu groß.....

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

http://www.virus-protect.org/artikel...kaspersky.html

Und lasse SUPERAntiSpyware nochmal drübergucken...

Also, bei deinem Dr. CureWeb Link konnte ich zwar was runterladen, aber da waren nur Sachen drin, mit denen mein PC nix machen konnte...
hab dann auf der Anleitungsseite nen Link gefunden und es runtergeladen,

konnte aber keinen richtigen Log nach Ausführung finden....

Hier der SUPERAntiSpyware Log:


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/11/2008 at 02:11 PM

Application Version : 4.21.1004

Core Rules Database Version : 3563
Trace Rules Database Version: 1551

Scan type : Complete Scan
Total Scan Time : 00:55:36

Memory items scanned : 310
Memory threats detected : 0
Registry items scanned : 3848
Registry threats detected : 0
File items scanned : 35387
File threats detected : 2

Adware.180solutions/Seekmo/Zango
C:\DOKUMENTE UND EINSTELLUNGEN\TRISTAN\DOCTORWEB\QUARANTINE\A0000055.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\TRISTAN\DOCTORWEB\QUARANTINE\SETUP.EXE