Jetzt weiß ich nicht, ob du die alten Anweisungen gelesen hast, zur Sicherheit nochmal:

1.) Arbeite diese Anleitung ab: http://www.trojaner-board.de/411645-post19.html

2.) Mach noch einmal einen Vollscan mit Malwarebytes, führe vorher ein Update durch, dient nur dazu zu kontrollieren, ob MbAM wieder einwandfrei läuft.

3.) Start => Ausführen => combofix /u => OK

4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

5.) Lade dir ein neues ComboFix.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld und ändere die *** in deinen Anmeldenamen:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
C:\QooBox.zip
C:\caisslog.txt
C:\InstallHelper.log
C:\LxDasi.Log
C:\WXPVOL_DE.ISO
C:\Adobe.Photoshop.and.ImageReady.CS2.v9.0.German_www.goldesel.to.rar
C:\WINDOWS\system32\wbem\proquota.exe
C:\WINDOWS\system32\ajgrrtyuts.exe
C:\WINDOWS\system32\tmps.log
C:\WINDOWS\system32\lxd
C:\WINDOWS\system32\bxx.txt
C:\WINDOWS\system32\zymqcveuuzusq
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfc009.dat
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfc007.dat
c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe
C:\WINDOWS\system32\jupdate-1.5.0_04-b05.log
C:\WINDOWS\system32\jupdate-1.4.2_03-b02.log
C:\WINDOWS\system32\spdwnwxp.log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\SET3D.tmp
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\9g2234wesdf3dfgjf23
C:\WINDOWS\sonce122730.dat
C:\WINDOWS\ModemLog_Intel(R) 537EA Modem.txt
C:\WINDOWS\~GLC0000.TMP
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\REGLOCS.OLD
C:\WINDOWS\Sti_Trace.log
C:\WINDOWS\002206_.tmp
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SETA.tmp
C:\WINDOWS\clock.avi
C:\PROGRAMME\Online-Dienste
C:\PROGRAMME\Online Services

Folder::
C:\Dokumente und Einstellungen\***\Desktop\Anti Malware
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

DirLook::
C:\WINDOWS\system32
C:\WINDOWS\system32\wbem
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hi,

Punkt 1 hab ich gemacht, lasse mbam jetzt nochmal laufen.

Scripten mit Combofix hab ich gestern abend gemacht und gepostet, soll ich das nochmal machen?

Greetz

Das ist ein neues Script. Genau der Reihe nach abarbeiten.

ciao, andreas

Logfile Malwarebytes:


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2178
Windows 5.1.2600 Service Pack 1

25.05.2009 22:20:36
mbam-log-2009-05-25 (22-20-25).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 164546
Laufzeit: 59 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\SYSDLL.exe.vir (Worm.Koobface) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142487.exe (Worm.Koobface) -> No action taken.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142488.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> No action taken.

Lasse die Funde löschen, dort steht No action taken.

ciao, andreas

Sorry, hier nochmal:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2178
Windows 5.1.2600 Service Pack 1

25.05.2009 22:24:26
mbam-log-2009-05-25 (22-24-26).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 164546
Laufzeit: 59 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\SYSDLL.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142487.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142488.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> Quarantined and deleted successfully.

So ist besser. Also MbAM läuft wieder ohne Probleme.

Jetzt die Liste bitte zügig bis zuende abarbeiten, sonst werden wir nie fertig.

ciao, andreas

Link per PN!

Greetz

1.) Start => Ausführen => combofix /u => OK

2.) Lade die Dateien

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\cdpkroralfinwm.exe
c:\windows\system32\ajgrrtyuts.exe
         

bitte bei uns hoch.

3.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

4.) http://www.trojaner-board.de/61465-a...ty-2009-a.html

ciao, andreas

Seit wann genau hast du Probleme?

Funktinioniert der FireFox wieder?

Lade bitte die Datei

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\ajgrrtyuts.exe
         

bei uns hoch.

ciao, andreas

Punkt 1-3 hab ich erledigt, keine Schädlinge gefunden mit Superantispy!


Ich bekomme beim Start des PC immer die Meldung das grpconv nicht gestartet werden konnte, hat das was zu bedeuten?

Die anderen Punkte abarbeiten und die Fragen noch beantworten. Da ist noch etwas.

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

c:\windows\system32\ajgrrtyuts.exe


Diese Datei finde ich nicht, auch per Suche nicht!

Diese Meldung kommt erst seit ca. 2 Tagen, also irgendwann zwischen der ganzen PC-Aufräumaktion!

FireFox läuft wieder einwandfrei!

Zitat:

Diese Meldung kommt erst seit ca. 2 Tagen, also irgendwann zwischen der ganzen PC-Aufräumaktion!

Die Meldung ist durch simples Fixen mit HJT erledigt, ich möchte wissen, seit wann du befallen bist?

Zitat:

Diese Datei finde ich nicht, auch per Suche nicht!

Das ist gut, auch wenn ich sie gerne hätte.

ciao, andreas

Na ja ich bin froh wenn die Datei weg ist

Weiss nicht so genau seit wann ich befallen bin, gemerkt hab ich das vor ner Woche, maximal 10 Tagen.

Ist das eigentlich normal das die Scans so ewig lange dauern?

Greetz