Kein Zugang auf AV-Seiten, hidden driver im GMER-Log

dborys · 09.03.2009, 15:23

Hallo liebes Trojaner-Board,

habe hier am Rechner das Problem dass ich nicht auf AV-Seiten wie von Avira, MBAM u.ä. komme. HJT konnte ich downloaden und starten, ebenfalls GMER, bei GMER wurde ebenfalls was gefunden.

Anbei die beiden Logs:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:11, on 09.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EasyCall\Programm\EasyCallT.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\EasyCall\Programm\ComServ.exe
C:\Programme\INTERCAFE\Intercafe.exe
C:\WINDOWS\system32\iServerAsync.exe
C:\Programme\INTERCAFE\PagePoller.exe
C:\Programme\INTERCAFE\MemberDataManager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPKDP8YX\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [UpdExe] "C:\Programme\EasyCall\Programm\UpdExe.exe" runStartUp
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EasyCallT.lnk = C:\Programme\EasyCall\Programm\EasyCallT.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{462F83E6-E262-4D1E-B9C4-49346E30C2B0}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O24 - Desktop Component 0: (no name) - http://74.125.43.113/images/comment.gif
O24 - Desktop Component 1: (no name) - http://***.wuestenfuchs.com/pic/spacer.gif
O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 6502 bytes

GMER:

Code:

ATTFilter

http://www.loaditup.de/334511.html

Würde mich über Antworten freuen.

MfG dborys

undoreal · 09.03.2009, 16:26

Hallöle.

Wir bräuchten das komplette GMER log:

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

john.doe · 09.03.2009, 23:30

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
savupywp

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\savupywp

Files to delete:
C:\WINDOWS\system32\fmizeoo.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

dborys · 10.03.2009, 00:24

Wird gemacht sobald ich wieder an den Rechner dran komme, da es nicht mein Privatrechner ist sondern eines Kollegen, der nicht sehr viel damit anfangen kann. Und ich kann auch nur was damit anfangen weil ich hier täglich mitlese

.

Werde dann das Script ausführen, dann ein neues GMER-Log machen, danach HJT und MBAM welches sich dann wahrscheinlich runterladen lässt.

Werde versuchen die Logs schnellstmöglich zu liefern.

Gute N8,

dborys

dborys · 10.03.2009, 13:24

So, da bin ich wieder , und hab ein Paar Logs dabei:

Avenger:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "savupywp" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\savupywp" deleted successfully.
File "C:\WINDOWS\system32\fmizeoo.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

HJT:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:59, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NOTEPAD.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EasyCall\Programm\EasyCallT.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\EasyCall\Programm\ComServ.exe
C:\Programme\INTERCAFE\Intercafe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\iServerAsync.exe
C:\Programme\INTERCAFE\PagePoller.exe
C:\Programme\INTERCAFE\MemberDataManager.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\AVP\khxov35i.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\AVP\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [UpdExe] "C:\Programme\EasyCall\Programm\UpdExe.exe" runStartUp
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EasyCallT.lnk = C:\Programme\EasyCall\Programm\EasyCallT.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{462F83E6-E262-4D1E-B9C4-49346E30C2B0}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O24 - Desktop Component 0: (no name) - http://74.125.43.113/images/comment.gif
O24 - Desktop Component 1: (no name) - http://www.wuestenfuchs.com/pic/spacer.gif
O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 6548 bytes

Java werde ich gleich updaten

Neues GMER-Log:

Code:

ATTFilter

http://www.loaditup.de/334824.html

MBAM:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

10.03.2009 13:22:10
mbam-log-2009-03-10 (13-22-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 118324
Laufzeit: 43 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So, denke wir sind doch ganz gut vorangekommen.

Danke

Warte auf weitere Anweisungen.

MfG dborys

undoreal · 10.03.2009, 15:19

Das kann doch nicht das ganze GMER log sein...

Du musst nach dem Scan auf den "Copy" Button drücken und dann hier im forum einfügen was kopiert wurde...

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

dborys · 16.03.2009, 13:48

Zum GMER-log: Hatte ich glaub ich so gemacht, nur halt in ein *txt.- file und nicht in das Forum.

So, neuen Scan mit GMER gemacht, leider ist der rootkit wieder da, diesmal unter einem anderen Driver-Namen...

Code:

ATTFilter

GMER 1.0.15.14878 - http://www.gmer.net
Rootkit scan 2009-03-16 13:46:16
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

INT 0x62  ?                                                                                                      8716DBF8
INT 0x63  ?                                                                                                      86FA2BF8
INT 0x73  ?                                                                                                      86FA2BF8
INT 0x73  ?                                                                                                      86FA2BF8
INT 0x82  ?                                                                                                      8716DBF8
INT 0x83  ?                                                                                                      86FA2BF8
INT 0xB4  ?                                                                                                      86FA2BF8

---- Kernel code sections - GMER 1.0.15 ----

?         spkh.sys                                                                                               Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                  F6EF98AC 5 Bytes  JMP 86FA21D8 
.text     apycmhzh.SYS                                                                                           F6E73386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text     apycmhzh.SYS                                                                                           F6E733AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text     apycmhzh.SYS                                                                                           F6E733C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text     apycmhzh.SYS                                                                                           F6E733C9 1 Byte  [2E]
.text     apycmhzh.SYS                                                                                           F6E733CB 9 Bytes  [00, 00, 5A, 02, 00, 00, 00, ...] {ADD [EAX], AL; POP EDX; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text     ...                                                                                                    

---- User code sections - GMER 1.0.15 ----

.text     C:\WINDOWS\System32\svchost.exe[976] ntdll.dll!NtQueryInformationProcess                               7C91D7E0 5 Bytes  JMP 01B9ADCD 
.text     C:\WINDOWS\System32\svchost.exe[976] NETAPI32.dll!NetpwPathCanonicalize                                597DA3A9 5 Bytes  JMP 01B9AD64 
.text     C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1000] kernel32.dll!SetUnhandledExceptionFilter         7C8449FD 5 Bytes  JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text     C:\WINDOWS\system32\svchost.exe[1016] ntdll.dll!NtQueryInformationProcess                              7C91D7E0 5 Bytes  JMP 007AADCD 
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxParamW                           7E3747AB 5 Bytes  JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxIndirectParamW                   7E382072 5 Bytes  JMP 4467179F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxIndirectA                       7E38A082 5 Bytes  JMP 44671720 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxParamA                           7E38B144 5 Bytes  JMP 44671764 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxExW                             7E3A0838 5 Bytes  JMP 446716AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxExA                             7E3A085C 5 Bytes  JMP 446716E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxIndirectParamA                   7E3A6D7D 5 Bytes  JMP 446717DA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxIndirectW                       7E3B64D5 5 Bytes  JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [F72DC040] spkh.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [F72DC13C] spkh.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [F72DC0BE] spkh.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [F72DC7FC] spkh.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [F72DC6D2] spkh.sys
IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [F72EC048] spkh.sys
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfAcquireSpinLock]                                   C0840CEC
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_UCHAR]                                     053C0D74
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KeGetCurrentIrql]                                    57B80974
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfRaiseIrql]                                         8B000000
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfLowerIrql]                                         56C35DE5
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!HalGetInterruptVector]                               8D08758B
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!HalTranslateBusAddress]                              8D51FC4D
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KeStallExecutionProcessor]                           8D52FD55
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfReleaseSpinLock]                                   8D51FE4D
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                             8D52FF55
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_USHORT]                                    8D51F84D
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                            5052F455
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!WRITE_PORT_UCHAR]                                    EACAE856
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[WMILIB.SYS!WmiSystemControl]                                 0FC08520
IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[WMILIB.SYS!WmiCompleteRequest]                               0001B185

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                 8716C1F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                       86FA11F8
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                              871DB1F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                871DB1F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                   871DB1F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                  871DB1F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                       86FA11F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                       86FA11F8
Device    \Driver\usbuhci \Device\USBPDO-3                                                                       86FA11F8
Device    \Driver\usbehci \Device\USBPDO-4                                                                       86F741F8
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8716E1F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                 8716E1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                           86F601F8
Device    \Driver\Cdrom \Device\CdRom1                                                                           86F601F8
Device    \Driver\Cdrom \Device\CdRom2                                                                           86F601F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{462F83E6-E262-4D1E-B9C4-49346E30C2B0}                               86D75500
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                86D75500
Device    \Driver\PCI_PNP2248 \Device\0000003f                                                                   spkh.sys
Device    \Driver\PCI_PNP2248 \Device\0000003f                                                                   spkh.sys
Device    \Driver\NetBT \Device\NetbiosSmb                                                                       86D75500
Device    \Driver\usbuhci \Device\USBFDO-0                                                                       86FA11F8
Device    \Driver\usbuhci \Device\USBFDO-1                                                                       86FA11F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      86EC3500
Device    \Driver\usbuhci \Device\USBFDO-2                                                                       86FA11F8
Device    \Driver\sptd \Device\3015195998                                                                        spkh.sys
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                            86EC3500
Device    \Driver\usbuhci \Device\USBFDO-3                                                                       86FA11F8
Device    \Driver\usbehci \Device\USBFDO-4                                                                       86F741F8
Device    \Driver\Ftdisk \Device\FtControl                                                                       8716E1F8
Device    \Driver\apycmhzh \Device\Scsi\apycmhzh1                                                                86F5F500
Device    \Driver\apycmhzh \Device\Scsi\apycmhzh1Port2Path0Target0Lun0                                           86F5F500
Device    \FileSystem\Cdfs \Cdfs                                                                                 86F67500

---- Services - GMER 1.0.15 ----

Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                      [AUTO] bymwmi                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@DisplayName                                              Security Image
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Type                                                     32
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Start                                                    2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ErrorControl                                             0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ImagePath                                                %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ObjectName                                               LocalSystem
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Description                                              F?hrt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi\Parameters                                               
Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi\Parameters@ServiceDll                                    C:\WINDOWS\system32\fmizeoo.dll
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xE9 0x33 0xCE 0x7F ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x30 0x7A 0x2F 0x7E ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xDB 0xDF 0x25 0x3C ...
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@DisplayName                                                  Security Image
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Type                                                         32
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Start                                                        2
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ErrorControl                                                 0
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ImagePath                                                    %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ObjectName                                                   LocalSystem
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Description                                                  F?hrt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi\Parameters                                                   
Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi\Parameters@ServiceDll                                        C:\WINDOWS\system32\fmizeoo.dll
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE9 0x33 0xCE 0x7F ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x30 0x7A 0x2F 0x7E ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xDB 0xDF 0x25 0x3C ...
Reg       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                  
Reg       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION                   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

---- EOF - GMER 1.0.15 ----

Eine Frage zu CureIT: Kann ich den Scan auch im Normal-bootmode machen, ggf. mit getrenntem Internet?

Gruß dborys

undoreal · 16.03.2009, 17:52

Halli hallo.

Der CureIT Scan sollte nach Möglichkeit schon im Abgesicherten Modus erfolgen.
Warum fragst du? Macht der Abgesicherte Probleme?

Lasse bitte zu erst CureIT laufen bevor du den folgenden Anweisungen folgst.

fileASSASSIN und regASSASSIN

Downloade dir fileASSASSIN von Malwarebytest.org: http://www.malwarebytes.org/fa-setup.exe
Installiere das Programm.
Sollte es dabei zu Fehlermeldungen kommen könnte das am Schädling liegen. In diesem Fall downloade dir die Portable Version direkt auf einen USB-Stick:
http://www.malwarebytes.org/FA_Portable.zip
Entpacke das Archiv dort. Ein Doppelklick auf die fileASSASSIN.exe starte die PortableVersion.

Downloade dir RegASSASIN und speichere es auf dem Desktop

Starte den Rechner im abesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Starte fileASSASSIN und setze den Haken bei "Delete File". Alle anderen Haken lässt du wie sie sind.

Dann kopierst du bitte folgenden Dateipfad per Copy&Paste in das Textfeld. Starte den Löschvorgang durch Drücken des "Execute"-Buttons.

Zitat:

C:\WINDOWS\system32\fmizeoo.dll

Evtl. Fehlermeldungen schreibe dir bitte ab und poste sie im Anschluss. Poste ob die Dateie erfolgreich gelöscht wurde.

Registrierungsschlüssel löschen

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die regedit Import-Funktion wiederherstellen.

Starte RegASSASSIN durch einen Doppelklick auf die RegASSASSIN.exe.

Kopiere nacheinander folgende Schlüssel in die Textbox und drücke den delete Button.

Code:

ATTFilter

HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
HKLM\SYSTEM\CurrentControlSet\Services\bymwmi
HKLM\SYSTEM\ControlSet003\Services\bymwmi

Öffne dann über Start -> ausführen -> cmd eintippen und ENTER drücken, die Befehlskonsole.
Dort gebe folgende Befehle ein und bestätige sie mit ENTER:
sc stop bymwmi ENTER
sc delete bymwmi ENTER

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !

Dann startest du den Rechner im normalen Modus neu.

Deinstalliere Deamon Tools sowie OODefrag. Räume wieder mit dem CCleaner auf und starte den Rechner neu.

Poste ein frisches GMER log.

dborys · 17.03.2009, 14:03

Zitat:

Der CureIT Scan sollte nach Möglichkeit schon im Abgesicherten Modus erfolgen.
Warum fragst du? Macht der Abgesicherte Probleme?

Ob der abgesicherte Modus Probleme macht weiss ich nicht, denke aber nicht, habe noch nicht ausprobiert. Ich frage, weil an dem Rechner einige Prozesse laufen, die ich ungerne stoppen würde, dass heißt für mich, dass ich den Scan nur irgendwann nachts machen kann.. Siehe dazu auch zweiten Post von mir.

Zum FileAssasin: Kann ich auch den internen von MBAM benutzen?

Zitat:

Deinstalliere Deamon Tools sowie OODefrag.

Dazu frage ich lieber meinen Kollegen inwieweit er diese Programme benutzt, werden bei nicht- Bedarf deinstalliert.

Zum Rest: Wird ausgeführt soweit ich an den Rechner komme. Sollte morgen erfolgen. Mit CureIT könnte es halt ein wenig dauern wegen safe boot mode.

Danke nochmal für die Hilfe.

P.S.: Bei einem Rechner der mit dem obigen in einem Netzwerk verbunden ist, hat das gleiche Problem (AV- Seiten), nur das Problem dort ist, dass soweit ich dort GMER oder Avira Anti-rootkit starte (beide exe's umbennant da sonst nicht gestartet), stürzt der Rechner ( nach kurzer Scanzeit- ca 2-3 sec) ab und /oder startet sich neu (ohne bluescreen) . Blacklight geht, hat aber nichts gefunden..
Soll ich dazu einen extrathread eröffnen?

MfG dborys

undoreal · 17.03.2009, 15:58

Zitat:

weil an dem Rechner einige Prozesse laufen, die ich ungerne stoppen würde,

Was für Prozesse sind das?

Zitat:

Zum FileAssasin: Kann ich auch den internen von MBAM benutzen?

Ich habe dir doch den Link zu fileASSASSIN von der Herstellerseite Ma!wa€rbyt€s gepostet. (Habe den Hersteller jetzt extra anders geschrieben! !=l und €=e) Wird bei dir der Link evtl. vom Schädling verändert? Dann auf keinen Fall darauf klicken! In dem Fall müssen wir anders vorgehen.

Zitat:

Dazu frage ich lieber meinen Kollegen inwieweit er diese Programme benutzt, werden bei nicht- Bedarf deinstalliert.

Das ist uns ziemlich egal inwieweit er die Programme benutzt. Die kann er hinterher wieder installieren aber wenn er möchte das wir helfen werden die bitte deinstalliert.

Zitat:

Mit CureIT könnte es halt ein wenig dauern wegen safe boot mode.

CureIT wird ausgeführt bevor es weitergeht!

Zitat:

Soll ich dazu einen extrathread eröffnen?

Jo, bitte ein Rechner pro Thread.

dborys · 17.03.2009, 23:18

Zitat:

Zitat von undoreal

Was für Prozesse sind das?

Ich denke das kann man sehr gut aus dem HJT -Log nachvollziehen. Ist halt ein Rechner der im Betrieb eines I-Cafes läuft. Falls dies ein Problem sein sollte tut es mir leid nicht vorher angesprochen zu haben, ich dachte nur das hat man aus dem Log nachvollziehen können.

Zum File Assassin: Ich habe einfach so angefargt ob man den internen benutzen könnte, der Hersteller ist doch der selbe.
Könnte aber sein, dass der download vom schädling blockiert werden könnte, kam als ich beim letzen mal versucht habe auf die Malewarebytes Seite zu kommen nicht darauf, die übliche Fehlermeldung: "Seite nicht gefunden".
Ich werde vielleicht aus dem Heimrechner von dem ich gerade schreibe die jeweiligen dateien umbenennen und irgendwo hochladen und dann vom verseuchten Rechner runterladen und starten.

Zu CureIT: Siehe oben, werde aber wie gesagt so schnell wie möglich versuchen den Scan zu machen.

Zu den zu deinstalliernden Programmen: Werde ich machen, dachte nicht dass diese eine große Bedeutung für die Bereinigung haben, sonst hätte ich die Deinstallation gar nicht in Frage gestellt.

Zitat:

CureIT wird ausgeführt bevor es weitergeht!

Siehe oben.

Zitat:

Jo, bitte ein Rechner pro Thread

Hab ich mir gedacht, wollte halt nur nachfragen weil die beiden Rechner in einem Netzwerk sind.

Denke komme morgen an die beiden Rechner dran.

Gute Nacht zusammen.