Hallo
Habe in http://www.trojaner-board.de/61720-kp-das-ist.html alles bereits gelesen und soweit alles gemacht was ich selbst machen konnte und mir als richtig erschien.
Ich habe den CC-cleaner ausgeführt und bereits combofix durchlaufen lassen. Nun muss ich ja eine txt anlegen und diese in combofix einfügen, weiß allerdings nicht die richtigen befehle (Scripten mit Combofix) und in dem thread wird gesagt, dass für jeden computer es eigene befehle es da gibt, deswegen hoffe ich nun, dass mir hier jemand weiterhelfen kann. in der combofix datei steht bei mir nun:

Zitat:

ComboFix 08-10-14.07 - Miriam 2008-10-15 18:36:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.67 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Miriam\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Miriam\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\Miriam\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\Miriam\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\drivers\avgrkx86.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AVGRKX86
-------\Service_AvgRkx86


((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 ))))))))))))))))))))))))))))))
.

2008-10-15 18:27 . 2008-10-15 18:27 <DIR> d-------- C:\Programme\CCleaner
2008-10-14 17:30 . 2008-10-14 20:10 <DIR> d--h----- C:\$AVG8.VAULT$
2008-10-14 17:18 . 2008-10-14 17:28 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-10-14 17:18 . 2008-10-14 17:18 <DIR> d-------- C:\Programme\AVG
2008-10-14 17:18 . 2008-10-14 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-10-14 17:18 . 2008-10-14 17:33 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-10-14 17:18 . 2008-10-14 17:33 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-10-14 17:18 . 2008-10-14 17:33 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-10-14 16:53 . 2008-10-13 00:16 211,855 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-14 16:49 . 2008-10-14 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wpkbgveh
2008-10-14 16:49 . 2008-10-14 16:49 77,824 --a------ C:\WINDOWS\system32\qvmbcraz.exe
2008-09-20 11:02 . 2008-09-20 11:08 <DIR> d-------- C:\Programme\Mystery Case Files - Huntsville

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-23 14:08 --------- d-----w C:\Programme\ICQ6
2008-09-20 09:43 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-20 08:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-09-14 14:14 --------- d-----w C:\Programme\Haunted Hotel
2008-09-14 10:46 --------- d-----w C:\Programme\Dream Day First Home
2008-09-13 12:02 --------- d-----w C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\PlayFirst
2008-09-13 12:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-09-13 11:37 --------- d-----w C:\Programme\Dream Chronicles
2008-09-13 11:34 --------- d-----w C:\Programme\bfgclient
2008-08-24 13:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-08-24 13:39 --------- d-----w C:\Programme\Big City Adventure - Sydney Australia
2008-08-02 10:19 0 ----a-w C:\Programme\temp01
.

ich hoffe mir kann jemand helfen.
Dankeschön

Hallo und

Das Combofix Logfile ist unvollständig. Reiche es vollständig nach!

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.