Zitat:

Zitat von john.doe

Deinstalliere auch DrWeb und lösche anschließend den Ordner C:\Programme\DrWeb.

Wenn es den geben würde hätte ich diesen Ordner liebend gern gelöscht ;-)

ich hab aber Nero und FLYFF deinstalliert und mach jetztdie logs

Gruß mo

EDIT:

http://www.materialordner.de/kfUK7iA...k64bTUyE5.html
http://www.materialordner.de/SSfzR6I...zMdduDW6k.html
http://www.materialordner.de/4Xmm2eL...31ISuuh2o.html

So hier nochma die 3 dateien 1. müsste listing sein 2. info und 3. log .txt

Den rest mach ich noch

Gruß moritz

Also bei Super Antispyware hängt sich mein pc immer irgendwann auf und hier ist der der Bericht von Malwarebytes:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2616
Windows 5.1.2600 Service Pack 3

13.08.2009 21:33:38
mbam-log-2009-08-13 (21-33-38).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 244293
Laufzeit: 1 hour(s), 7 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.12,85.255.112.112 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{75ffb6f4-2dd2-4ffc-9bcc-57c3f95f19dd}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.12,85.255.112.112 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Gruß moritz

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Reinige dein System => http://www.trojaner-board.de/51464-a...-ccleaner.html

3.) Start => Ausführen => combofix /u => OK

4.) Deinstalliere (falls möglich):

• SuperAntiSpyware

5.) Lade dir ein neues ComboFix auf deinen Desktop.

6.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
catchme
EagleNT
GMSIPCI
MHN
gupdate1c9b77f52182154
JavaQuickStarterService

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\npggsvc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11222041-111B-46E3-BD29-EFB2449479B1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"SunJavaUpdateSched"=-
"MSConfig"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=-
"gupdate1c9b77f52182154"=-
"JavaQuickStarterService"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe"=-
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe"=-
"C:\Nexon\Combat Arms EU\CombatArms.exe"=-
"C:\Nexon\Combat Arms EU\Engine.exe"=-
"C:\Nexon\Combat Arms EU\NMService.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\Programme\Nexon\Combat Arms EU\CombatArms.exe"=-
"C:\Programme\Nexon\Combat Arms EU\Engine.exe"=-
"C:\Nexon\Combat Arms EU\CombatArms.exe"=-
"C:\Nexon\Combat Arms EU\Engine.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b215bfc2-0e42-11de-8fab-001f1f096aee}]

Folder::
C:\Programme\Panda Security
C:\rsit
C:\WINDOWS\SxsCaPendDel
C:\Config.Msi

File::
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\HPpromotions journeysoftware.job
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier sit der Logfile:
http://www.materialordner.de/BrDRi4kWx7TIA7B2b628Pobi2otIu8.html

1.) Säubere dein System => http://www.trojaner-board.de/51464-a...-ccleaner.html

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=-
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=-
"c:\nexon\Combat Arms EU\CombatArms.exe"=-
"c:\nexon\Combat Arms EU\Engine.exe"=-
"c:\\Nexon\\Combat Arms EU\\NMService.exe"=-

Folder::
C:\WINDOWS\msdownld.tmp
C:\Dokumente und Einstellungen\Moritz Maximilian\Anwendungsdaten\utorrent

File::
C:\WINDOWS\system32\jupdate-1.6.0_15-b03.log
C:\WINDOWS\system32\perfd007.dat
C:\WINDOWS\system32\perfd009.dat
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfi007.dat
C:\WINDOWS\system32\perfi009.dat
C:\WINDOWS\0.log
C:\WINDOWS\002821_.tmp
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET8.tmp

DirLook::
c:\63a613aa071383b6c086ef21
c:\e3bd4573d7c0516357fe487b
c:\c406d621f967515bcd4f738d5b
c:\download
c:\849d2057aa7930651d0983478a
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Und der enue Logfile:
http://www.materialordner.de/dqR76tM8auycemB8kAvWk3lbMI53a0wd.html

Gruß moritz

Hast du dir Windows-Desktop-Search freiwillig installiert und nutzt du das überhaupt?

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Folder::
c:\63a613aa071383b6c086ef21
c:\e3bd4573d7c0516357fe487b
c:\c406d621f967515bcd4f738d5b
c:\849d2057aa7930651d0983478a
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

War beim Service Pack dabei, ahb aber WindowsSearch immer ausgeschaltet

Zitat:

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2248)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll

Wenn du sie nicht nutzt, dann deinstalliere sie. Die frisst Unmengen an Ressourcen.

ciao, andreas

http://www.materialordner.de/XGAixFjdbJqpT1fPvdqIurBKgyhGwgMi.html

hmm ich benutzt es aber manchmal, deswegen hab ich es auch nur deaktiviert.

OK. Dann kann es so bleiben. Wie lange braucht dein Rechner beim Starten?

Die Logs sind jetzt sauber. Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten?

ciao, andreas

Ne geht alles wieder, nur beim CCleaner gibt es immernoch den Registryeintrag der nicht weggeht.

Was verstehst du genau unter starten?

Zitat:

Was verstehst du genau unter starten?

Booten. Die Zeit, die vom Anschalten des Rechners bis zu dem Zeitpunkt vergeht, an dem du mit dem Rechner arbeiten kannst.

Zitat:

nur beim CCleaner gibt es immernoch den Registryeintrag der nicht weggeht.

Der gehört zu Avira und ist richtig so.

Zitat:

Ne geht alles wieder

Poste noch die beiden RSIT-Logs. Wir sind fast fertig.

ciao, andreas

Zitat:

Zitat von john.doe

Booten. Die Zeit, die vom Anschalten des Rechners bis zu dem Zeitpunkt vergeht, an dem du mit dem Rechner arbeiten kannst.

Ok das is schwer kommt drauf an wie schnell ich im Boot-Menü Win XP auswähle und wie schnell ich mich anmelde^^ muss ich morgen ma ausprobieren^^

Gruß moritz