Zitat:

Machst du das eigentlich beruflich

Jein. Ich war 5 Jahre Netzwerkadministrator, administriere immer noch kleinere Netzwerke, habe auch schon Fachinformatiker ausgebildet. Das Schädlingskillen ist mehr Hobby.

Zitat:

oder ist das ein perfekt angelerntes Hobby?

Ich habe eine sehr gute Lehrerin, meine Myrtille, die aber jetzt böse auf mich ist, weil ich dir Everest weggelöscht habe.

Ich bin ziemlich sicher, dass das RAT jetzt weg ist, aber eben nur ziemlich. Deshalb werde ich jeden Scanner auf dich loslassen, der greifbar ist. Gehen wir doch mal unkonventionelle Wege.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, suche nach der Datei * (wird lange dauern), Menüzeile: Ansicht => Details, Klick auf die Überschrift "Geändert am" und mache ein Screenshot von allen Dateien im fraglichen Zeitraum +- 1 Stunde.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Ui , okay das erklärt einiges.

:d nun kein Scherz , will unbedingt eine Ausbildung in Fachinformatik starten, schon vor ca. einer Woche habe ich mich endgültig dafür entschieden. Heißt das irgendwann könnte ich selber jemanden solche Tipps geben ? *g

Ja Everest *heul , ich fand das Tool recht hilfreich.


So hier erstmal der Lesestoff. Hing alles sehr beim Screenen.

Screen 1-5


Screen 6



So ich werd dann mal alle Programme durchlaufen lassen. Falls ich einschlafe *g schon mal eine gute Nacht! Und Dankeschön.
Falls ich nicht einschlafe , bis später *lach

Liebe Grüße Engelstraene die dir seeeehr dankbar ist

Aktuelle Trials gibt es hier: Lavalys - Comprehensive IT Security and Management

Freie z.B. hier: Everest Home Edition

Hast du den Link noch, auf den du geklickt hast? Falls ja, dann schicke ihn mir bitte als PN.

ciao, andreas

Morgen gähn, soeben bin ich fertig mit dem Dr.Web

ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kerstin\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kerstin\Desktop;Container enthält infizierte Objekte;Verschoben.;
adasdq.exe.vir;C:\Qoobox\Quarantine\C\Programme\jasdqw;Trojan.Inject.5089;Gelöscht.;
A0048122.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP257;Trojan.Inject.5089;Gelöscht.;
A0049682.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Wahrscheinlich BATCH.Virus;;
A0049685.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Program.PsExec.170;;
A0049895.reg;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Trojan.StartPage.1505;Gelöscht.;
A0049970.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP261;Wahrscheinlich BATCH.Virus;;
A0050039.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP262;Wahrscheinlich BATCH.Virus;;
A0050108.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Trojan.Inject.5089;Gelöscht.;
A0050132.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Wahrscheinlich BATCH.Virus;;
A0050135.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Program.PsExec.170;;
A0050325.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Wahrscheinlich BATCH.Virus;;
A0050328.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Program.PsExec.170;;
A0050381.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Wahrscheinlich BATCH.Virus;;
A0050381.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Program.PsExec.171;;
data002;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Archiv enthält infizierte Objekte;;
A0050381.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Container enthält infizierte Objekte;Verschoben.;





Zu dem Link, gerade zur Verfügung leider nicht. Da mein Nick noch gesperrt ist, kann ich meine Nachrichten nicht öffnen. Könnte ihn dir im Nachhinein schicken. Bin noch unsicher ob ichs jetzt schon freischalten lassen soll. Ich warte lieber noch bis ich wirklich "sauber" bin.

Was ich mich nun frage ist... Ist das ein Fehlarlam bei der ComboFix Datei ? Ich habs trotzdem verschoben, hast du mir ja so gesagt. Das was ich nicht verschieben konnte hab ich gelöscht. Hoffe das war richtig.


Der Rest kommt nun auch.

Lg

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Zitat:

Ich warte lieber noch bis ich wirklich "sauber" bin.

Mmh. Bei dem, was bisher gefunden wurde, solltest du auf die letzten beiden Links in meiner Signatur klicken und alles aufmerksam durchlesen.

Zitat:

Ist das ein Fehlarlam bei der ComboFix Datei ?

Das Antivirenprogramme sich gegenseitig als Schädlinge erkennen ist "normal" (oder Firmenpolitik?).

Zitat:

Hoffe das war richtig.

Passt schon.

Zitat:

von allen Dateien im fraglichen Zeitraum +- 1 Stunde.

Mit der fragliche Zeitraum meinte ich den Zeitraum, als du auf den Link geklickt hast.

ciao, andreas

Morgen

So die Systemwiederherstellung ist deaktiviert.


Wegen den Screens öhm ja. *g Hier sind die richtigen.

Eins hat sich nicht eingeordnet nachdem ich nach Zeit anzeigen gemacht hab , hab ich mal einen Pfeil vorgesetzt.

Liebe Grüße

Morgen,

da ist noch etwas.

Doppelklicke in der Überschrift genau auf die Grenze zwischen "Im Ordner" und "Größe" damit der volle Ordnername sichtbar wird. Dann nocheinmal Screenshots erstellen. Ich brauche den vollen Pfad zum Ordner "5" und zu den Dateien mit den vielen Zahlen.

ciao, andreas

Okay , wie doof von mir.


Hier nochmal beide Screens mit vollem Pfad.

Screens mit vollem Pfad.


Liebe Grüße.


Ps. Tu mich heut morgen ein wenig schwer

Am liebsten wäre mir, du würdest AOL komplett deinstallieren und anschliessend installieren. Damit meine ich deinstallieren, anschliessend mit der Windowssuche nach AOL suchen und alle Ordner und Dateien löschen, die gefunden werden. Damit verlierst du natürlich auch den Verlauf, aber ich denke, dass ist das kleinste Übel. Anschliessend kannst du deine Konten wieder aktivieren.

Poste bitte ein aktuelles HJT-Log.

ciao, andreas

Ok, Aol ist derzeit Deinstalliert

Der neue Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:39, on 29.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.micro***.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.micro***.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.micro***.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-LU9UI.lnk = C:\Dokumente und Einstellungen\Kerstin\Desktop\Virus Removal Tool\is-LU9UI\startup.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspe****.com/kos/german/...an_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://h***://*************.live.com...d/MsnPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - ***p://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 7563 bytes




ActivScan Ergebnis



Kaspersky Ergebnis


Edit:PrevXCSI hat nichts gefunden. Allerdings hat er nur die laufenden Prozesse durchsucht. War das richtig so ?



LG

Ich sehe gerade, dass du Nero BackItUp am Laufen hast. Warum hast du dein Backup nicht einfach zurückgespielt?

Deinstalliere alle Scanner, die wir eingesetzt haben, bis auf MalwareBytes.

Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file)
O4 - Startup: is-LU9UI.lnk = C:\Dokumente und Einstellungen\Kerstin\Desktop\Virus Removal Tool\is-LU9UI\startup.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://dingens-ohne-namen.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
         

=> Fix checked

ciao, andreas

Edit: Dann war es das. 100%ige Sicherheit hast du nicht, aber die gibt es eh nicht. Misstraue deinem Rechner in der nächsten Zeit. Ich bin ziemlich sicher, dass er sich nicht mehr melden wird. Es sei denn, du hältst dich an meine Anleitung (besonders Punkt 1 und 8 ): http://www.trojaner-board.de/396401-post22.html

Lade dir nocheinmal ComboFix. Poste ein letztes ComboFix-Log und anschliessend:
Start => Ausführen => combofix /u => OK

Zitat:

Zitat von john.doe

Ich sehe gerade, dass du Nero BackItUp am Laufen hast. Warum hast du dein Backup nicht einfach zurückgespielt?

... Es sei denn, du hältst dich an meine Anleitung (besonders Punkt 1 und 8 ): http://www.trojaner-board.de/396401-post22.html

Zu NeroBackItUp , ganz ehrlich? Wofür genau das da ist weiß ich nicht, ich google mal schnell. Wieder ein Fehler, hab Sachen auf dem Pc wo ich nicht weiß was es ist. *selber eingesteh* Das wird sich nun ändern , aber bitte sag mir jetzt nicht das wir uns durch NeroBackItUp die ganzen Scans und Logs hätten sparen können ??


Zu deiner Anleitung... Das ist die erste die ich nicht befolgen werde *ätsch*

Das Log :


ComboFix 09-03-28.06 - Kerstin 2009-03-29 11:33:42.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.514 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 10:48 . 2009-03-29 10:48 66 --a------ c:\windows\wininit.ini
2009-03-29 08:40 . 2009-03-29 11:02 <DIR> d-------- c:\programme\Panda Security
2009-03-29 03:34 . 2009-03-29 11:36 10,455,072 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-29 03:34 . 2008-07-08 13:54 148,496 --a------ c:\windows\system32\drivers\86493282.sys
2009-03-29 03:34 . 2009-03-29 11:31 115,184 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-29 00:29 . 2009-03-29 00:50 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\DoctorWeb
2009-03-28 16:44 . 2009-03-28 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 16:43 . 2009-03-28 21:25 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 14:42 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 13:38 . 2009-03-28 13:38 <DIR> d-------- c:\programme\Trend Micro
2009-03-27 03:04 . 2009-03-27 03:04 <DIR> d-------- c:\programme\TeamViewer3
2009-03-23 23:06 . 2009-03-23 23:06 <DIR> dr------- c:\programme\Skype
2009-03-23 23:06 . 2009-03-28 21:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype
2009-03-18 21:35 . 2009-03-18 21:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-18 21:34 . 2009-03-18 21:34 <DIR> d-------- c:\programme\Avira
2009-03-18 21:34 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-16 11:13 . 2009-03-16 11:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-16 11:12 . 2009-03-16 11:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-16 11:11 . 2008-04-07 06:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-03-16 11:11 . 2008-04-07 06:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-03-16 10:30 . 2009-03-16 10:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager
2009-03-15 19:58 . 2009-03-15 19:58 <DIR> d-------- c:\programme\Season Match 2
2009-03-15 19:57 . 2009-03-15 19:57 <DIR> d-------- c:\programme\Secrets of Olympus
2009-03-15 19:56 . 2009-03-15 19:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma
2009-03-15 19:49 . 2009-03-15 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2009-03-15 16:31 . 2009-03-15 16:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC
2009-03-15 14:06 . 2009-03-15 14:06 <DIR> d-------- c:\programme\DragonStone
2009-03-15 13:58 . 2009-03-15 13:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen
2009-03-15 11:22 . 2009-03-15 11:26 <DIR> d-------- c:\programme\ICQ6.5
2009-03-14 18:34 . 2009-03-14 18:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent
2009-03-14 18:04 . 2009-03-15 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2009-03-14 13:02 . 2009-03-25 21:52 69 --a------ c:\windows\NeroDigital.ini
2009-03-13 22:29 . 2009-03-13 22:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket
2009-03-13 21:33 . 2009-03-28 12:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead
2009-03-13 21:32 . 2009-03-13 21:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-13 21:28 . 2009-03-13 21:28 <DIR> d-------- c:\programme\Nero
2009-03-13 21:28 . 2009-03-13 21:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-03-13 14:15 . 2009-03-28 13:13 <DIR> d-------- c:\programme\CCleaner
2009-03-13 13:46 . 2007-09-26 19:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll
2009-03-02 01:01 . 2009-03-09 11:48 29 --a------ c:\windows\Irremote.ini
2009-03-02 00:03 . 2009-03-02 00:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 19:25 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-28 19:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp
2009-03-28 13:31 --------- d-----w c:\programme\Logitech
2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games
2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint
2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games
2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom
2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-13 12:11 --------- d-----w c:\programme\Windows Live
2009-03-13 12:05 --------- d-----w c:\programme\Winamp
2009-03-13 12:00 --------- d-----w c:\programme\MSBuild
2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-04 17:59 --------- d-----w c:\programme\Zattoo
2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ
2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero
2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint
2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream
2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin
2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys
2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-03-29_11.29.39,82 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-29 09:32:31 16,384 ----atw c:\windows\temp\Perflib_Perfdata_5e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312]
R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &AIM Toolbar Search
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Per Mitteilung versenden(&M) ...
IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Über Bluetooth senden
FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - AIM Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 11:35:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 11:37:31
ComboFix-quarantined-files.txt 2009-03-29 09:37:27
ComboFix2.txt 2009-03-29 09:30:49
ComboFix3.txt 2009-03-29 09:20:58

Vor Suchlauf: 17 Verzeichnis(se), 16.033.767.424 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 16,021,397,504 Bytes frei

172



Liebe Grüße

Zitat:

aber bitte sag mir jetzt nicht das wir uns durch NeroBackItUp die ganzen Scans und Logs hätten sparen können ??

Nur dann, wenn du vorher ein Backup gemacht hättest, aber danach sieht es ja eher nicht aus.

Zitat:

Zu deiner Anleitung... Das ist die erste die ich nicht befolgen werde *ätsch*

Ach ja? Wer hat nochmal auf einen Link geklickt, den er per Messenger bekommen hat?

Ich bin ziemlich sicher, dass du daraus gelernt hast, sonst wirst du hier Dauergast werden.

Code: Alles auswählenAufklappen

ATTFilter

R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496]
         

Wo kommt der denn her? Möchtest du mich ärgern oder dafür sorgen, dass ich schnellstmöglich ins Grab komme?

Was hab ich nochmal geschrieben?

Zitat:

Deinstalliere alle Scanner, die wir eingesetzt haben, bis auf MalwareBytes.

Du schreibst jetzt 100mal an die Tafel: Ich soll alle Scanner, bis auf MalwareBytes, deinstallieren!

Falls du ComboFix schon deinstalliert hast, dann lade es gleich nochmal runter.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
is-LU9UIdrv
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Zitat:

Zitat von john.doe

Nur dann, wenn du vorher ein Backup gemacht hättest, aber danach sieht es ja eher nicht aus.
Ach ja? Wer hat nochmal auf einen Link geklickt, den er per Messenger bekommen hat?

Ich bin ziemlich sicher, dass du daraus gelernt hast, sonst wirst du hier Dauergast werden.

Code: Alles auswählenAufklappen

ATTFilter

R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496]
         

Wo kommt der denn her? Möchtest du mich ärgern oder dafür sorgen, dass ich schnellstmöglich ins Grab komme?

Was hab ich nochmal geschrieben?
Du schreibst jetzt 100mal an die Tafel: Ich soll alle Scanner, bis auf MalwareBytes, deinstallieren!

Wuah nu bekomm ich Angst...

Herr Lehrer das hab ich wirklich nicht gesehen, können Sie da nicht noch einmal ein Auge zu drücken ?


Ich versprech auch ich klicke nie wieder auf Links die schon auf komische Filehoster geladen sind. *schwör* Außerdem war das kein Messenger sondern des war im Chat *wegrenn*

So ich werd dann mein Script reinhauen und dann alles nochmal machen. Aber nun ehrlich, in Software und in C:\Programme war das nicht drin. In Windows direkt trau ich mich nicht einfach etwas zu löschen.

Bis gleich

Zitat:

Herr Lehrer das hab ich wirklich nicht gesehen, können Sie da nicht noch einmal ein Auge zu drücken ?

Zitat:

In Windows direkt trau ich mich nicht einfach etwas zu löschen.

Das würde auch nicht reichen, der hat sich als Dienst installiert.

ciao, andreas