Schritt 2 Folgendes kommt raus

Code: Alles auswählenAufklappen

ATTFilter

you must specify a folder with fully qualified patname or choose Cancel
         

hehe, wusste gar nicht dass Windows in der DOS-Ebene so eine Fehlermeldungen produzieren kann. Vor allem, da es dort keinen Button gibt, wo man Cancel wählen kann.

Du hast gerade Deiner Malware guten Tag gesagt, welche durch einen Rootkit versteckt wird. Ein Rootkit ist ein Programm, welches Dateien/Ordner verstecken kann (vereinfacht ausgedrückt) genauer z.B. hier

Lade Dir bitte Gmer runter (das ist ein Rootkit-Scanner) -> entpacken -> starten -> Scan drücken -> warten -> Save und Logfile posten

Ich habe Schritt 2 doch noch ausführen können das Problem ist das die Seite sich immerwieder mit der gleichen eingabe für c:/ öffnet Ich kann keine andere Eingabe machen

Ich hab mal etwas von Fernwartung gehört bietet ihr auch soetwas an ?

MFG Ayse

Eigentlich nicht! Und Du merkst aufgrund der langen Antwortzeit, dass ich mir auch Gedanken machen musste , ob ich das wirklich tun soll. Dies hier ist eine absolute Ausnahme!

Wenn ich das tun soll, muss klar sein, dass ich für evtl. Schäden keine Haftung übernehme. Ich erkläre Dir jeden Schritt und erst wenn Du Dein Einverständnis gibst, werde ich diesen ausführen. Die komplette Sitzung werde ich mitschneiden, um mich abzusichern!

Wenn Du hiermit einverstanden bist, dann bestätige die Bedingungen hier offiziell. Anschließend lade Dir Teamviewer runter (Vollversion), installiere diese und schicke mir die ID und das Kennwort per Mail an die vorhin erhaltene eMail-Adresse.

Ich habe dir eine Mail mit dem Kennwort und meiner ID geschickt ich hoffe das du uns diese dinger vom Hals schaffen kannst

Bedingungen bestätigt

Ein ganz dickes Danke schön schon mal

MFG Ayse

Ok, bin in wenigen Sekunden da.

Der PC lebt noch :-)

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-03-10.03 - Mumi 2009-03-13  0:00:44.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.511.206 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mumi\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((   Dateien erstellt von 2009-02-12 bis 2009-03-12  ))))))))))))))))))))))))))))))
.

2009-03-12 22:37 . 2009-03-12 22:37	<DIR>	d--------	c:\windows\system32\config\systemprofile\Anwendungsdaten\TeamViewer
2009-03-12 22:36 . 2009-03-12 22:36	<DIR>	d--------	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TeamViewer
2009-03-11 17:39 . 2009-03-11 17:39	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-03-11 17:39 . 2009-03-11 17:39	<DIR>	d--------	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\Malwarebytes
2009-03-11 17:39 . 2009-03-11 17:39	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-11 17:39 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-11 17:39 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-03-11 17:05 . 2009-03-11 17:05	<DIR>	d--------	c:\programme\Yahoo!
2009-03-11 17:05 . 2009-03-11 17:05	<DIR>	d--------	c:\programme\CCleaner
2009-03-11 17:05 . 2009-03-11 17:05	<DIR>	d--------	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\Yahoo!
2009-03-11 17:05 . 2009-03-11 17:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-03-10 23:11 . 2009-03-12 21:34	<DIR>	d--------	c:\programme\TeamViewer
2009-03-10 22:26 . 2009-03-10 23:55	<DIR>	d--------	c:\programme\TeamViewer3
2009-03-10 22:26 . 2009-03-10 23:14	<DIR>	d--------	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\TeamViewer
2009-03-10 22:25 . 2009-03-12 21:33	<DIR>	d--------	c:\dokumente und einstellungen\Mumi\temp
2009-03-05 11:55 . 2009-03-05 11:55	<DIR>	d--------	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\mirkes.de
2009-02-17 13:32 . 2009-02-17 13:32	3,137	--a------	c:\windows\system32\control.rar

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-12 21:33	---------	d-----w	c:\programme\Kaspersky Lab
2009-03-12 21:33	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-12 07:11	27,342	----a-w	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\wklnhst.dat
2009-03-11 11:28	---------	d-----w	c:\dokumente und einstellungen\Mumi\Anwendungsdaten\U3
2009-02-09 14:04	1,846,912	----a-w	c:\windows\system32\win32k.sys
2008-12-20 22:31	826,368	----a-w	c:\windows\system32\wininet.dll
2008-12-19 12:24	410,984	----a-w	c:\windows\system32\deploytk.dll
2008-11-15 19:47	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008111520081116\index.dat
.

(((((((((((((((((((((((((((((   SnapShot@2009-03-12_23.49.19.54   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-12 22:58:44	16,384	----atw	c:\windows\Temp\Perflib_Perfdata_6ac.dat
+ 2009-03-12 22:58:56	16,384	----atw	c:\windows\Temp\Perflib_Perfdata_748.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-19 136600]
"Athan"="c:\programme\Athan\Athan.exe" [2007-07-07 954368]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-01 86016]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-12-15 40960]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= c:\programme\Gemeinsame Dateien\Sony Shared\VideoLib\sonydv.dll
"msacm.speex32"= speex32.acm
"msacm.divxa32"= msaud32_divx.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"High Definition Audio Property Page Shortcut"=HDAShCut.exe
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"WinampAgent"="c:\programme\Winamp\Winampa.exe"
"BigDogPath"=c:\windows\VM_STI.EXE Apache USB PC Camera

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 TeamViewer4;TeamViewer 4;c:\programme\TeamViewer\Version4\TeamViewer_Service.exe [2009-02-27 185640]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [2006-11-07 217728]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [2008-08-03 13352]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [2006-11-07 11264]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-08-03 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-08-03 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-08-03 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-08-03 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-08-03 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-08-03 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-08-03 97704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{819e6636-db1f-11dd-aabf-0013d4e6b562}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{989e3374-ccfc-11dd-aa9f-0013d4e6b562}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-03-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.mp3indirnet.com/
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} - hxxp://data.flatcast.com/NpFv415.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} - hxxp://80.237.209.20/objects/NpFv501.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-13 00:03:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-13  0:05:37
ComboFix-quarantined-files.txt  2009-03-12 23:05:34
ComboFix2.txt  2009-03-12 22:50:41

Vor Suchlauf: 25 Verzeichnis(se), 177.741.103.104 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 177,722,343,424 Bytes frei

158	--- E O F ---	2009-03-11 17:50:35
         

Hallo

Ich wollte mich recht Herzlich bedanken
Ich finde es sehr schön das es solche Foren gibt und das auch kompetente Menschen ihre Hilfe anbieten ich bedanke mich bei a5cl3p1o5 für seinen riesigen Zeitaufwand und seiner Geduld.
Vielen Dank

MFG Ayse

Dieses Thema kann als Gelöst betrachtet werden