Kaspersky Online Scan kann deinstalliert werden. Du hast da jede Menge verseuchter Emails, versuche die anhand des Kaspersky-Logs zu löschen. Lösche sie anschliessend aus dem Papierkorb deines Emailprogrammes.

Weiter mit:
1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

DrWeb cureit:

Ergebnis: Keine Viren gefunden!

ciao, andreas

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-05-30 00:00:16
PROTECTIONS: 2
MALWARE: 2
SUSPECTS: 3
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Personal Edition 6.28.0.106 Yes No
Kaspersky Internet Security 8.0.0.506 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\_OnlineUpdate\Client\update.exe
01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\_OnlineUpdate\Client_Auto\update.exe
01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\update.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP375\A0147502.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP375\A0147410.dll
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location ?
;===================================================================================================================================================== ==============================
No C:\Programme\Gemeinsame Dateien\Lexware\netviewer\NV_o2o_Teilnehmer_DE.exe ?
No C:\WINDOWS\Installer\{A4B3804B-0B81-487D-A946-B4764699E9F5}\TAXMAN 2008.msi[unk_0069][nv_o2o_teilnehmer_de.C3689185_4222_4F18_9E97_15FEFA5BB00F]
No C:\WINDOWS\system32\cdpkroralfinwm.exe ?
;===================================================================================================================================================== ==============================

VULNERABILITIES
Id Severity Description ?
MS08-002 ?
184379 MEDIUM MS08-001 ?
182048 HIGH MS07-069 ?
182046 HIGH MS07-067 ?
182043 HIGH MS07-064 ?
179553 HIGH MS07-061 ?
176382 HIGH MS07-057 ?
176383 HIGH MS07-058 ?
170911 HIGH MS07-050 ?
170907 HIGH MS07-046 ?
170906 HIGH MS07-045 ?
170904 HIGH MS07-043 ?
164915 HIGH MS07-035 ?
164913 HIGH MS07-033 ?
164911 HIGH MS07-031 ?
160623 HIGH MS07-027 ?
157262 HIGH MS07-022 ?
157261 HIGH MS07-021 ?
157260 HIGH MS07-020 ?
157259 HIGH MS07-019 ?
156477 HIGH MS07-017 ?
150253 HIGH MS07-016 ?
150249 HIGH MS07-013 ?
150248 HIGH MS07-012 ?
150247 HIGH MS07-011 ?
150243 HIGH MS07-008 ?
150242 HIGH MS07-007 ?
150241 MEDIUM MS07-006 ?
141034 HIGH MS06-076 ?
141033 MEDIUM MS06-075 ?
141030 HIGH MS06-072 ?
137571 HIGH MS06-070 ?
137568 HIGH MS06-067 ?
133387 MEDIUM MS06-065 ?

133386 medium ms06-064 ?
133385 medium ms06-063 ?
131654 high ms06-055 ?
129977 medium ms06-053 ?
126087 high ms06-046 ?
126083 high ms06-042 ?
126081 high ms06-040 ?
123420 high ms06-035 ?
120818 high ms06-025 ?
120815 high ms06-022 ?
120814 high ms06-021 ?
114664 high ms06-013 ?
108744 medium ms06-008 ?
96574 high ms05-053 ?

Was soll ich jetzt noch machen?

1.) Lösche die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\cdpkroralfinwm.exe
         

Kaspersky sagt, die ist sauber, Avira sagt, die enthält schädlichen Code. Also weg damit.

2.) Überprüfe deinen Rechner mit Prevx 3.0 Download.

ciao, andreas

1) Datei gelöscht!

2)PrevX Scan Logfile:



http://www.materialordner.de/ieAWij7...gz1K8JSbT.html

Greetz

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

ciao, andreas

Also ich kann momentan nix feststellen! Soll ich zur Sicherheit noch irgendeinen kompletten Scan machen oder sowas?

Welche der Antivirensoftware soll ich drauflassen und was kann ich jetzt wieder rauswerfen?

Greetz

P.S.: Mit 12 Tagen liege ich doch jetzt sicher ganz weit vorne oder?

Läuft Avira denn mittlerweile wieder? Falls ja, dann mit diesen Einstellungen scannen:
http://www.trojaner-board.de/54192-a...tellungen.html

Alles deinstallieren, bis auf:

• CCleaner
• HJT
• Malwarebytes
• Avira

Poste bitte noch ein letztes HJT-Log.

ciao, andreas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:38, on 01.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\USBTnKey\USBTnKey.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE
O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 4963 bytes



habe soeben Kaspersky deinstalliert und während diesem Vorgang kam wiederholt die meldung das die Datei "grpconv" nicht gefunden/geöffnt werden kann.

Die war vorher schonmal da und nach dem ich die ganzen Antivirenprogramme draufhatte nicht mehr... und jetzt wieder....

Benutzt du jetzt Kaspersky?

1.) Deinstalliere:

• PrevxCSI
• SuperAntiSpyware

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

Alle R0, R1, O2, O8, O9 und O16-Einträgte
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
         

=> Fix checked

3.) Installiere:

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket f&#252;r IT-Spezialisten und Entwickler
• Downloaddetails: Windows Internet Explorer 8 f&#252;r Windows XP
• Downloaddetails: Windows-Tool zum Entfernen b&#246;sartiger Software

4.) Start => Ausführen => mrt => OK => Bei Fund Log oder Screenshot posten.

5.) Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)



Folgenden Text einfügen:

Code: Alles auswählenAufklappen

ATTFilter

grpconv
         

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ciao, andreas

Nein aber im Verlauf unserer Säuberungsaktion sollte ich auch Kaspersky runterladen. Jetzt wollte ich dann alles mal wieder deinstallieren und zack- war die blöde Meldung wieder da

Punkte 1+2 sind schon erledigt, Punkt 3 wird wohl länger dauern.

Ich poste wieder wenn alles erledigt ist!

Greetz