>>
Avenger
The Avenger
kopiere in das weisse Feld:

Zitat:

Files to delete:
C:\WINDOWS\system32\geyekrdvdkvkfs.dll

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Blacklight – Rootkit Erkennungs-und-Elimination Program

- Lade F-Secure Blacklight auf das Desktop

- Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.

- Klicke "I accept the agreement", "Next", "Scan".

- wenn der Scan zu Ende ist, wähle "Close".

- Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten

poste das Log

Gruss Swiss

Avenger

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not delete file "C:\WINDOWS\system32\geyekrdvdkvkfs.dll"
Deletion of file "C:\WINDOWS\system32\geyekrdvdkvkfs.dll" failed!
Status: 0xc0000156


Completed script processing.

*******************

Finished!  Terminate.
         

F-Secure Blacklight

Code: Alles auswählenAufklappen

ATTFilter

07/24/09 18:47:56 [Info]: BlackLight Engine 2.2.1092 initialized
07/24/09 18:47:56 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/24/09 18:47:56 [Note]: 7019 4
07/24/09 18:47:56 [Note]: 7005 0
07/24/09 18:48:05 [Note]: 7006 0
07/24/09 18:48:05 [Note]: 7011 604
07/24/09 18:48:05 [Note]: 7035 0
07/24/09 18:48:05 [Note]: 7026 0
07/24/09 18:48:06 [Note]: 7026 0
07/24/09 18:48:07 [Note]: FSRAW library version 1.7.1024
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:12 [Note]: 2000 1012
07/24/09 18:48:42 [Note]: 7007 0
         

Hallo,

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Benenne ComboFix vor dem Download in cofi.exe um.

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

>>
Agentransack
laden + klicke: Suche.exe

kopiere in Suche:
geyekrdvdkvkfs

Klicke: Suchen

um sie abkopieren zu können , klicke oben links auf: "Datei" und dann auf "Speicher Ergebnisse... "

klicke auf "Speicher"

und poste alles, was erscheint

Gruss Swiss

Combofix als Dateianhang

das hat die suche ergeben

C:\Qoobox\Quarantine\C\WINDOWS\system32\geyekrdvdkvkfs.dll.vir (18 KB, 23.07.2009 14:26:54)

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Scanne noch einmal mit Malwarebytes (vorher updaten)

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

gruss Swiss

Edit: Entfernt.

Combofix ist deinstalliert, aber C:/Qoobox lässt sich nicht löschen

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2494
Windows 5.1.2600 Service Pack 3

24.07.2009 19:55:46
mbam-log-2009-07-24 (19-55-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 89411
Laufzeit: 1 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ralf\Desktop\avenger.exe (Trojan.Agnet) -> Quarantined and deleted successfully.
         

>>
Nun scanne noch mit Bitdefender.

Danach:

>>
Download OTM.exe auf den Desktop
Oeffne:OTM.exe
OTM auf dem Desktop speichern

OTM.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes


>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

Gruss swiss

Bitdefender läuft schon, dauert noch eine ganze Weile

Also dann warte ab was der meint, danach dann was ich gepostet habe.

Kommen noch Meldungen oder hast Du Probleme?

Gruss Swiss

Bis jetzt hab ich nichts außergewöhnliches mehr feststellen können

laut der Anzeige läuft Bitdefender noch etwa 3 Stunden

Lass danach noch diesen Eintrag bei www.virustotal.com/de prüfen:

C:\WINDOWS\system32\hjrtrapgsjr

Gruss Swiss