Hallo,

habe alles - mir mögliche - versucht um der Sache Herr zu werden. Kenne mich nicht sehr gut aus mit den Tiefen des Rechners...

System ist Vista.

AntiVir meldet diverse Trojaner:

Dldr.Zlob.Gen
Peed.A.830
Agent.wyn
Agent.8704.76
TDss.G
Small.yaf

Außerdem auch einige Backdoorprogramme...

Habe mit Spybot, Spyware Doctor, SuperAnti Spyware, Norton Security Scan etc gesucht aber keines der Programme findet alle Schädlinge bzw. kann diese Programme löschen.
Beim SuperAntispyware-Scan ist der Rechner jedesmal nach einiger Zeit automatisch runtergefahren weil ein Problem festgestellt wurde...auch im abgesicherten Modus.

Habe mir jetzt eScan runtergeladen und die Auswertedatei, ausserdem SmidfraudFix.

Wenn ich im abgesicherten Modus mit eScan scanne, fährt der PC auch nach einiger Zeit runter weil ein Fehler aufgetreten ist...

Hier die Logs von Smidfraud, keine Ahnung ob das beim Auswerten hilft....




SmitFraudFix v2.354

Scan done at 12:31:18,00, 29.09.2008
Run from C:\Users\simon\Downloads\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6001] - Windows_NT
The filesystem type is
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
\\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

C:\Windows\system32\systems.txt FOUND !
C:\Windows\system32\tdssservers.dat detected, use a Rootkit scanner
C:\Windows\system32\tdssadw.dll detected, use a Rootkit scanner
C:\Windows\system32\tdssinit.dll detected, use a Rootkit scanner
C:\Windows\system32\tdssl.dll detected, use a Rootkit scanner
C:\Windows\system32\tdsslog.dll detected, use a Rootkit scanner
C:\Windows\system32\tdssmain.dll detected, use a Rootkit scanner
C:\Windows\system32\drivers\tdssserv.sys detected, use a Rootkit scanner

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\simon


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\simon\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\simon\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5005G Wireless Network Adapter
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{082264E5-35B3-4F48-B8BF-CEB85C74F920}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End





Versuche jetzt nochmal den eScan...weiss nicht mehr weiter

Hallo,

arbeite bitte folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Danke schonmal...leider hat mir irgendeines der zuvor verwendeten Programme mein Vista komplett zerschossen und ich muss erstmal irgendwo eine Boot-CD herbekommen. Habe nämlich schlauerweise keine erstellt...

Hoffe das klappt bald und dann werde ich die o.g. Schritte unternehmen.

Hi,

wenn es schon soweit ist, würde ich dir raten Neuaufsetzen ansonsten wirst du wahrscheinlich immer wieder Ärger mit der aktuellen Installation kriegen.

lg myrtille

hi,
habe es geschafft, das system zum laufen zu bringen. habe mir eine vista recovery cd runtergeladen und es hat auf anhieb geklappt. komischerweise schlagen die antivirus-programme auf einmal keinen alarm mehr... werde jetzt aber die o.g. schritte abarbeiten.
grüsse
simon

hi nochmal,
jetzt hab ich versucht combofix laufen zu lassen, es hat aber gleich ein "rootkit" problem erkannt und wollte den rechner neu starten. dann musste ich wieder mit der vista-recovery cd booten weil der combofix treiber als systemtreiber nicht gefunden wurde.
antivir melden jetzt noch mehr trojaner...ich denke das system ist jetzt am ende.
muss ich jetzt vista kaufen wenn ich keine cd mitgeliefert bekommen habe?
die boot-cd ist nur 120MB gross, ist also tatsächlich nur zum starten...

nur zur info: ich glaube ich habe mir das über den windows media-player eingefangen. habe mp3s gehört und musste mit eine "lizenz" downloaden um den song abspielen zu können. damit fing alles an...

ich weiss nun wirklich nicht mehr was ich tun soll. wenn ich meine daten nicht verlieren will und alles auf eine externe festplatte kopiere, ist diese dann u.u. auch verseucht?

danke für eure hilfe!

Hi,

wir können noch versuchen das Rootkit mit Malwarebytes oder einem Rootkitscanner zu löschen, damit du zumindest noch eine RecoveryCD erstellen kannst.
EDIT: Aber diese Programme brauchen auch alle Treiber, ich weiß nicht ob es wirklich ohne geht. Wenn du mit Malwarebytes nicht weiterkommst könntest du es eventuell mal mit blacklight probieren. (Die Funde umbenennen lassen)
Mit den genauen Begebenheiten von Vista-CDs kenn ich mich leider nicht aus, da müsstest du mal im Windowsforum nachfragen.

Wenn du den Rechner wieder funktionsfähig hast, solltest du auf jedenfall den Rechner mit DrWeb scannen lassen. Die infizierte MP3-Datei versucht in der Regel auch alle MP3s zu infizieren. DrWeb kann das eigentlich bereinigen.

lg myrtille