Bei Google auf andere Seiten - LogFile

Oberseggl · 27.02.2009, 16:04

Hallo,

ich habe das selbe Problem wie manch andere hier, ich werde auch bei Google auf andere Seiten weitergeleitet. Hoffe dass es dann richtig ist wenn ich dafür ein eigenes Thema für mich eröffne.

Ich habe nun auch so ein Look File erstellt. Ich hoffe ihr könnt mir helfen,
finde es ja schonmal sehr genial dass ihr sowas überhaupt macht.
Allerdings habe ich die Anweisung in der Anleitung nicht verstanden wie ich es übersichtlicher posten kann, also die Anweisung mit [code] usw
Ich hoffe ihr könnt mir helfen.

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname *****
Systemhersteller Sony Corporation
Systemmodell VGN-FE31Z
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 15 Stepping 6 GenuineIntel ~1828 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R0170J3, 17.08.2006
SMBIOS-Version 2.40
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume2
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ****\****
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,36 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 3,85 GB
Auslagerungsdatei C:\pagefile.sys

LogFile:

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:47, on 27.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Apoint\Apntex.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\HJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*****.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId***
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?***
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/****
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/****
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://***.club-vaio.com/de/
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AB891D2-D3DC-4EC7-A547-A1F4E9A66C3B}: NameServer = 128.176.0.12 128.176.0.13
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9149 bytes
#/[code]

Redwulf · 27.02.2009, 16:21

Hallo Oberseggl

Zunächst einige Fragen.
Die DNS Einträge zur Uni Münster sind von dir?
Hast du den Bitdefender mal scannen lassen?

Oberseggl · 27.02.2009, 16:34

Hey,

Bitdefender habe ich schonmal scannen lassen, mache ich aber grade nochmal. Allerdings ist es nur eine freeversion, die mir sagt dass sie abgelaufen ist. Ist das ein Problem?

Wo kannst du Uni Münster einträge finden? Was bedeutet DNS? (Domain Name Server?) Wenn ich das als Laie mal deute dann kommt so ein Eintrag eventuell durch die Internetverbindung die ich aktuell über das Uni Netz habe, grade im Moment auch.
Oder was meintest du?
Danke

Redwulf · 27.02.2009, 17:15

Genau das meinte ich, die DNS Einträge sind someit ok. Bitdefender muss geupdated sein bevor du scannst, er erkennt wohlmöglich nicht alles....
Warten wir mal deinen Scan ab

Oberseggl · 27.02.2009, 18:34

Bitdefender hat tatsächlich was gefunden, auf die Idee hätte ich aber auch selber kommen können ich Trottel.
Bei Google kann ich nun wieder normal suchen.
Die Frage ist nur ob das Problem damit wirklich gelöst ist.
Hat BitDefender das Zeug auch wirklich gelöscht, bzw reicht es wenn es in Quaratäne verschoben wurde was er ja offentsichtlich gemacht hat?

Das BitDefender Report File ist hier:

[code]
//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Erstelt am: 27/02/2009 14:52:39
//
//-----------------------------------------------------------------

Statistik

Pfad : C:\
Ordner : 11384
Dateien : 672698
Archive : 10725
Komprimierte Dateien : 31798
Erkannte Viren : 2
Infizierte Dateien : 3
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 2
Umbenannte Dateien : 0
I/O Fehler : 33
Prüfzeit :71582788:12:21
Prüfgeschwindigkeit (Dateien/Sekunde) : 0

Virusdefinitionen : 2248224
Scan Plug-Ins : 15
Archiv Plug-Ins : 42
Archiv Plug-Ins : 7
E-Mail Plug-Ins : 6
System Plug-Ins : 1

Scan Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Scan Optionen
[X] Warnungen aktiviert
[X] Heuritik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: vscan.log
[ ] Zum bestehenden Bericht hinzufügen

Zusammenfassung:

C:\Dokumente und Einstellungen\***\Desktop\****\Altes Zeug\Lotus Notes Kurs\notes_Suchfunktion.exe Infiziert mit: Trojan.Generic.4264
C:\Dokumente und Einstellungen\***\Desktop\*****\Altes Zeug\Lotus Notes Kurs\notes_Suchfunktion.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\***\Desktop\****\Altes Zeug\Lotus Notes Kurs\notes_Suchfunktion.exe Verschoben
C:\Dokumente und Einstellungen\***\Desktop\****\Altes Zeug\Lotus Notes Kurs\replizieren.exe Infiziert mit: Trojan.Generic.4264
C:\Dokumente und Einstellungen\****\Desktop\****\Altes Zeug\Lotus Notes Kurs\replizieren.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\*****\Desktop\*****\Altes Zeug\Lotus Notes Kurs\replizieren.exe Verschoben
C:\Installations Exen\KaZaa\kazaa_lite.exe=>(Instyler o)=>(Instyler Module 2) Infiziert mit: Virtool.12937
C:\Installations Exen\KaZaa\kazaa_lite.exe=>(Instyler o)=>(Instyler Module 2) Desinfizieren fehlgeschlagen
C:\Installations Exen\KaZaa\kazaa_lite.exe=>(Instyler o)=>(Instyler Module 2) Verschieben fehlgeschlagen

/[code]

Redwulf · 28.02.2009, 17:44

Ich denke das dies nicht alles war. Bitdefender war u.a. auch nicht in der Lage einige der Infektionen entsprechend zu handeln, sprich löschen / vernichten oder in die Quarantäne zu verschieben. Die Sympthome die du angesprochen hast, lassen vermuten, dass wohlmöglich noch ein Trojan DNS Changer sein Unwesen treibt, den Bitdefender allerdings aufgrund eines möglichen Rootkits nicht finden kann.

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf.
Erst wenn diese Tarnung fällt, ist der Virus verwundbar...

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING MEHR

Dein System ist somit kompromitiert, auch wenn dies mit dem DNS Changer zunächst eine Vermutung von mir ist zeigt der Bitdefender Log jedoch solche
Infektionen.

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Dies solltest du zunächst überlegen, bevor du weiterliest.....

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen:

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung
Download von Avenger http://swandog46.geekstogo.com/avenger2/download.php
Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung
Download von GMER http://www.gmer.net/gmer.zip

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da ein´DNS Changer vermutet wird, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code:

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Hiernach einen Malwarebyte Scan ( Full Scan ) und das Logfile hier posten....
Lasse zum Abschluß alle Funde löschen

Punkt 4.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 5.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Weiteres kommt dann nach diesem Logfile von mir.....

Oberseggl · 01.03.2009, 01:43

Danke erstmal für die viele Mühe!
Ich werde morgen unterwegs sein, aber mich dann übermorgen direkt dran setzen und versuchen alle deine Anweisungen zu befolgen!
Melde mich dann wieder! Gruß Oberseggl

Oberseggl · 02.03.2009, 13:14

Log File Malwarebytes:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1809
Windows 5.1.2600 Service Pack 3

02.03.2009 11:34:42
mbam-log-2009-03-02 (11-34-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 259139
Laufzeit: 1 hour(s), 18 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Oberseggl · 02.03.2009, 13:30

Hier das GMER Log File:

http://www.file-upload.net/download-1494586/Gemer-Log-file-1.log.html

Oberseggl · 02.03.2009, 13:37

Dann hab ich mir unser Antivirus Programm von der Uni besorgt, und es mal laufen lassen, das hat auch einen Trojaner gefunden und ihn bereinigt.
Meinst du jetzt ist wieder alles okay?
Alles andere was du geschrieben hast habe ich danach auch noch befolgt.

****************** Sophos Anti-Virus Protokoll **************

20090301 104729 Überprüfung 'Überprüfung von Laufwerk C' gestartet.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\****\Personal Management\PDT\SS08\SS08_***.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\****l Management\PDT\SS08\SS08_***é.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\N***\Desktop\***anagement\PDT\SS08\SS08_***ij_K.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\N***Desktop\***C\Personal Management\PDT\SS08\SS08_A***.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\A\Personal Management\PDT\SS08\SS08_Ah.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\A\Personal Management\PDT\SS08\SS08_Che.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\t\Desktop\APersonal Management\PDT\SS08\SS08_.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\Nrt\Desktop\A\Personal Management\PDT\SS08\SS08_Fer.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\Nt\Desktop\APersonal Management\PDT\SS08\SS08_Irt.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\A\Personal Management\PDT\SS08\SS08_J.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\AC\Personal Management\PDT\SS08\SS08_Jer.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\AI\Personal Management\PDT\SS08\SS08_Kz.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\A\Personal Management\PDT\SS08\SS08_Mnn.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\A\Personal Management\PDT\SS08\SS08_Nr.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\A\Personal Management\PDT\SS08\SS08_Pann_.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\t\Desktop\A\Personal Management\PDT\SS08\SS08_Ptter.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105936 Die Überprüfung von 'C:\Dokumente und Einstellungen\\Desktop\A\Personal Management\PDT\SS08\SS08_Sa***beld.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105937 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\\Personal Management\PDT\SS08\SS08_Sebamann.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105937 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\\Personal Management\PDT\SS08\SS08_Sebh.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 105937 Die Überprüfung von 'C:\Dokumente und Einstellungen\N\Desktop\A\Personal Management\PDT\SS08\SS08_Simon.xls' führte zu SAV Interface-Fehler 0xa0040212: Die Datei ist verschlüsselt.
20090301 110129 Datei 'C:\Games\Key(gens)\Clone_CD_4X_Keygen.exe' wurde als verdächtige Datei vom Typ 'Sus/ComPack-C' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 110149 Datei 'C:\Games Extern\Flatout 2\FlatOut2.exe' wurde als verdächtige Datei vom Typ 'Sus/Behav-239' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 110158 Datei 'C:\Games Extern\Key(gens)\Clone_CD_4X_Keygen.exe' wurde als verdächtige Datei vom Typ 'Sus/ComPack-C' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 110851 Datei 'C:\Programme\Microsoft Works\lnchtour.exe' wurde als verdächtige Datei vom Typ 'Sus/Behav-1021' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 110859 Datei 'C:\Programme\Microsoft Works\Setup\PFiles\MSWorks\lnchtour.exe' wurde als verdächtige Datei vom Typ 'Sus/Behav-1021' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 101159 Datei "C:\System Volume Information\_restore{BDA20836-2515-475C-8EC0-6931AEBE2E66}\RP442\A0054170.sys" gehört zu Virus/Spyware 'Troj/Daonol-Fam'.
20090301 101203 Datei "C:\System Volume Information\_restore{BDA20836-2515-475C-8EC0-6931AEBE2E66}\RP442\A0054171.sys" gehört zu Virus/Spyware 'Troj/Daonol-Fam'.
20090301 101218 Datei 'C:\System Volume Information\_restore{BDA20836-2515-475C-8EC0-6931AEBE2E66}\RP444\A0054822.exe' wurde als verdächtige Datei vom Typ 'Sus/ComPack-C' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 101220 Datei 'C:\System Volume Information\_restore{BDA20836-2515-475C-8EC0-6931AEBE2E66}\RP444\A0054823.exe' wurde als verdächtige Datei vom Typ 'Sus/ComPack-C' erkannt.
Senden Sie bitte ein Sample an Sophos.
20090301 102258 Die Überprüfung von 'C:\WINDOWS\system32\drivers\sptd.sys' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20090301 102258 Die Überprüfung von 'C:\WINDOWS\system32\drivers\sptd1277.sys' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20090301 102340 Virus/Spyware 'Troj/Daonol-Fam' wurde erkannt.
20090301 102340 Überprüfung 'Überprüfung von Laufwerk C' abgeschlossen.
20090301 102340 Ergebniszusammenfassung für Überprüfung 'Überprüfung von Laufwerk C':
Überprüfte Objekte: 169578
Fehler: 22
Objekte in Quarantäne: 8
Bearbeitete Objekte: 0
(46 Objekte)

Redwulf · 02.03.2009, 16:06

Las bitte noch einmal den CCleaner laufen und poste mir ein aktuelles Hijack this.
Ging mir eigendlich zu einfach.......schaun wir mal

Was macht deine PC? Immer noch Probleme oder Auffälligkeiten?

**Sunny** · 02.03.2009, 16:25

Ich werde es nie verstehen:

Zitat:

C:\Games\Key(gens)\Clone_CD_4X_Keygen.exe'
C:\Games Extern\Key(gens)\Clone_CD_4X_Keygen.exe
C:\Installations Exen\KaZaa\kazaa_lite.exe

Wer mit dem Feuer spielt, sollte aufpassen das er sich nicht verbrennt.

Erst die Software illegal freischalten und sich dann über Probleme wundern und andere Leute bitten das System wieder auf Vordermann zu bringen!

Redwulf · 02.03.2009, 18:52

Jau, und genau die wirst du bitte dann bei Virustotal ( Virustotal.com ) hochladen und überprüfen lassen...

Nich böse sein Sunny, er wird sich bestimmt bessern

Oberseggl · 02.03.2009, 22:42

Der CCleaner findet nix mehr. Auffälligkeiten sind eigentlich keine mehr da. Außer dass ich auf normalen Internetseiten zu Beginn meist ein Werbepopup bekomme, aber das ist normal oder?

ANALYSE komplett - (1.251 Sek)
------------------------------------------------------------------------------------------
0 Byte zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
Der Firefox/Mozilla Internet-Cache wurde übersprungen.
------------------------------------------------------------------------------------------

REINIGUNG komplett - (0.166 Sek)
------------------------------------------------------------------------------------------
0 Byte entfernt.
------------------------------------------------------------------------------------------

@Sunny: Was macht man nicht alles in jungen Jahren.... wusste garnicht das ich die Dateien noch habe, zocken ist lange vorbei.

Redwulf · 03.03.2009, 08:30

Ich denke es ist noch was da...

Lade die Datein ( Sunny´s Antwort ) bei Virustotal hoch. Müssen mal schauen...

Lösche auch die Quarantäne deines AV, von Malwarebytes und die Caches deines Systems

Bei Google auf andere Seiten - LogFile

Log-Analyse und Auswertung: Bei Google auf andere Seiten - LogFile