Hallo, ich hoffe jemand kann mir helfen!

Mein PC läuft seit einiger Zeit etwas lahm, bisher war das aber nicht übermäßig, so dass ich dachte, dass er einfach etwas überfordert ist.
Gestern zeigte mir G-Data einen Virusverdacht (leider kann ich mich nicht mehr erinnern, wo), hab die Datei löschen lassen. Hab dann kurz vor Feierabend (ist mein Bürorechner) noch einen Virenscan laufen lassen. Da hat er einen Virus gefunden, der nach Hochladen zu Virustotal als Trojaner erkannt wurde. Leider konnte ich nicht bis zum Ende des Scans bleiben und hab den Rechner danach runterfahren lassen. Hab mir eben einen Ast nach dem blöden Logfile gesucht und schließlich den Scan wiederholt. Diesmal war der aber sauber Inzwischen hab ich das Verzeichnis mit der Logdatei gefunden, allerdings werden die logs bei neuen Scans offenbar überschrieben, sodass mir nur das Log des sauberen Scans vorliegt. Hab deshalb jetzt mal ein HijackLog erstellt. Der PC läuft inzwischen übrigen zeitweise SEHR langsam. Eine Zeitlang geht's, dann braucht er plötzlich wieder Minuten, um einen Ordner zu öffnen oder ein Programm zu starten. Daher befürchte ich, dass sich da doch etwas eingenistet hat. Sorry, ist etwas lang geworden

Kann jemand mal bitte über das Log schauen? Vielen Dank im Voraus!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:12, on 19.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA\AVKClient\AvkCl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://companyweb
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVK Client] "C:\Programme\G DATA\AVKClient\AVKCl.exe" /GUI
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook.lnk = C:\WINDOWS\Installer\{90E00407-6000-11D3-8CFE-0150048383C9}\outicon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - h**p://server2003/connectcomputer/nshelp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195743810930
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\Software\..\Telephony: DomainName = ***.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F738C03-AB98-470B-8ABA-89307D798171}: NameServer = 192.168.115.1,192.168.115.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F738C03-AB98-470B-8ABA-89307D798171}: NameServer = 192.168.115.1,192.168.115.254
O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AvkCl.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5791 bytes

Im Moment läuft er übrigens ganz normal. Warum auch immer. Vor kurzem, als ich versucht habe, einen Prozess zu beenden, war da ein Prozess namens dumrep.exe oder so? Hat das vielleicht was zu sagen?

Gruß,
Gerrit

Nachtrag:

Die Datei, die ich zu Virustotal geschickt hatte, ist nicht mehr auf dem Rechner. Wenn ich danach suche (ohne Endung), dann zeigt mir der Explorer, dass die Datei im Windows\Prefetch Ordner ist. Ist das für die Wiederherstellung?

Und langsam wird der PC zur Zeit vor allem, wenn ich den Windows Explorer öffne. Der braucht ewig. Hab im Taskmanager nachgeschaut und dort braucht der Prozess für den Wächter von Gdata fast 100 %. Wenn ich den Wächter ausschalte, geht die CPU auslastung zurück, es ändert sich aber nichts und der Prozess wird nicht beendet. Erst wenn ich ihn manuell beende, reagiert der PC wieder ganz normal in allen Bereichen. Ich bin verwirrt! Der Wächter ist jetzt erstmal aus.

Noch ein Nachtrag:

GData hat den Virus jetzt wieder gefunden:

Virus: Win32:Agent-ACXZ[Trj][EngineB]
Datei: 484163174c2e6a35.core.dll
Verzeichnis: C:\Windows\system32\.484163174c2e6a35

Die "befallene" Datei nimmt Virustotal nicht an (angeblich wird nichts übertragen) Aber eine der anderen Dateien in dem Verzeichnis gibt Virustotal wie folgt aus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 Win32/Heur
BitDefender 7.2 2008.12.19 Trojan.Generic.1239907
CAT-QuickHeal 10.00 2008.12.19 Trojan.Agent.awhb
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.19 Trojan.Win32.Agent.awhb
Fortinet 3.117.0.0 2008.12.19 -
GData 19 2008.12.19 Trojan.Generic.1239907
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.19 Trojan.Win32.Agent.awhb
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 Generic!Artemis
Microsoft 1.4205 2008.12.19 Trojan:Win32/Iceroe.gen!A
NOD32 3705 2008.12.19 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.19 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Malicious Software
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 Trojan.Crypt.ULPM.Gen
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.18 Trojan.Monder.Gen!Pac.2
weitere Informationen
File size: 40448 bytes
MD5...: ab8e1d46e7c1a03956ad3cbeffad1d53
SHA1..: 9513efd532da37d5e5061831d73180312654c85d
SHA256: a6d7b93717941c39de063f8da583d3b9d5c3eee44d0d744b4612c1bab21792e8
SHA512: 1797920037b02f3e43a1bfd7a1454ab5d7ff9262c96a3002aa081cfdcbb85783
01d1fb90c058fca4d89a6079a4791864878cd06fcdc1d9a00fda89e14adaf536

ssdeep: 384:LiTngSAW2MdjAtQeRsH3bZuWrjzwj3BUE+tbdcXwws/bOigHiTvKZzKce6w:
IgSVxFMQXbs0YVUbtBcXBnw

PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c000
timedatestamp.....: 0x19204fe (Sun Nov 01 22:32:30 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
UPX1 0x8000 0x3000 0x2600 7.92 676ea997bad8c3b3b10915c2b6630ef6
.rsrc 0xb000 0x1000 0x600 2.72 c3e604386b7cf3faa16a0d701bf458de
.protect 0xc000 0x7000 0x6a00 7.19 9586a032985ed22bf1604887c81abfef

( 2 imports )
> KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor

( 0 exports )

Hallo Gerrit07,

Alle Punkte nach der Reihe ausführen:

1.) Bitte folgende Einträge mit HijackThis fixen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

2.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen)

3.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier!

LG Crusader

Hallo Crusader und danke für die Antwort!

Hab den Eintrag gefixt, alle Dateien anzeigen lassen (war sowieso schon eingestellt) und den Scan durchlaufen lassen. Das ist das Ergebnis (PC wurde inwzischen neu gestartet):

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1575
Windows 5.1.2600 Service Pack 3

30.12.2008 10:38:47
mbam-log-2008-12-30 (10-38-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 85654
Laufzeit: 23 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.

Danke schonmal für Deine Mühe!
Gruß, Gerrit.

Hallo Gerrit07,

Nur eine Zwischenfrage, gibt es noch Probleme? Ansonsten hier weitermachen:

1.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner blbeta.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!

3.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Ansonsten kannst du mit CCleaner noch alles bereinigen lassen!

LG Crusader

G-Data findet immer noch was. Und der PC hakelt immer noch. *grmpf* Also weiter im Programm...

Hast du einen Link für Blacklight? (hab das nur gefunden bei CHIP aus Dez. 07)

Hier der Link: Blacklight

Guten Morgen ihr zwei.

Bitte soweit irgend möglich die Tools immer von der Herstellerseite dowloaden..

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Das gilt für "unsere" Tools wie für alle anderen Programme. Chip, Softtronic und Co. sind keinesfalls vertrauenswürdig!!!

Hallo Undoreal,

Danke ich werde es beim nächsten Mal beachten!

LG Crusader

Hallo undoreal.

Keine Sorge, hab's bei F-Secure selbst runtergeladen. Das Log sieht so aus:

Zitat:

12/30/08 11:43:09 [Info]: BlackLight Engine 2.2.1092 initialized
12/30/08 11:43:09 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/30/08 11:43:10 [Note]: 7019 4
12/30/08 11:43:10 [Note]: 7005 0
12/30/08 11:44:34 [Note]: 7006 0
12/30/08 11:44:34 [Note]: 7011 116
12/30/08 11:44:34 [Note]: 7035 0
12/30/08 11:44:34 [Note]: 7026 0
12/30/08 11:44:35 [Note]: 7026 0
12/30/08 11:44:35 [Note]: 7024 3
12/30/08 11:44:35 [Info]: Hidden process: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
12/30/08 11:44:39 [Note]: FSRAW library version 1.7.1024
12/30/08 11:48:05 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.AT.config
12/30/08 11:48:05 [Note]: 10002 3
12/30/08 11:48:05 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.core.dll
12/30/08 11:48:05 [Note]: 10002 3
12/30/08 11:48:05 [Info]: Hidden file: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
12/30/08 11:48:06 [Note]: 10002 3
12/30/08 11:48:06 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.ServerPlugin.config
12/30/08 11:48:06 [Note]: 10002 3
12/30/08 11:48:06 [Note]: 10002 2
12/30/08 11:48:06 [Note]: 10002 2
12/30/08 11:54:22 [Note]: 7007 0

Hab mit Blacklight jetzt aber nix cleanen lassen. Lade jetzt SUPERAntiSpyware herunter und mache weiter.

Stop!

Bevor du weitermachst:


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe
c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config
c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll
C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe
c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config


Folders to delete:
c:\WINDOWS\system32\.484163174c2e6a35
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

PS:

Zitat:

Hallo Undoreal,

Danke ich werde es beim nächsten Mal beachten!

LG Crusader

kein Problem.. immer gerne.

So, das avenger-Log sieht so aus:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "484163174c2e6a35" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" not found!
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" not found!
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "c:\WINDOWS\system32\.484163174c2e6a35" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Was nun?

Lasse das Avenger Skript bitte nocheinmal laufen aber setzte das Häkchen bei "Automatically disable any rootkits found".

Und danach mache noch einen Blacklight scan. Eigentich sollte der Avenger bereits alles gelöscht haben aber ich möchte da sichergehen...