Hi,
Pc-erfahrung hab ich genung, allerding 0 auf diesem gebiet da ich nie Probleme hatte. Zum Problem: Antivir Guard hat nen win32.tdss gefunden (ca. 8x) und ich habe immer auf löschen geklickt. Dann habe ich nen Systemtest gemacht und Antivir hat sich mit nem Win-Blue screen verabschiedet Dann hab ich das System mit Spybot durchsuchen lassen und er hat Win32.tdss.reg (13x) und Win32.tdss.rtk (8x) gefunden und ich habe es beheben lassen. Beim erneuten suchlauf waren die .reg weg aber die .rtk nicht. Darauf hin hab ich mich im I-Net mal auf die suche begeben und bin hier im forum gelandet und hab mal bissel gelesen. Daraufhin hab ich mir dann Malwarebytes geladen und laufen lassen (LOG ist unten drin). Er hat auch was gefunden und es "Quarantined and deleted successfully" Quarantäne gestellt, von da hab ich es dann gelöscht. Dann hab ich spypot wieder laufen lassen, nix. Malwarebytes nochmal, nix (2er LOG). Dann war ich 1x im I-Net und hab Malwarebytes ein update verpasst und es nochmal laufen lassen (3er LOG). Nun hat er neue sachen gefunden, die ich aber nicht für gefährlich halte und ich habe sie aus der Quarantäne wiederhergestellt. Habe ich da recht? Und kann ich davon ausgehen das der Win32.tdss.rtk nun weg ist?

LOG 1

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2659
Windows 5.1.2600 Service Pack 3

20.08.2009 02:45:45
mbam-log-2009-08-20 (02-45-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 142834
Laufzeit: 12 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb3309 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd7821 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb1519 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd4125 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga6575 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc1183 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga9208 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc7709 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.


LOG 2

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2659
Windows 5.1.2600 Service Pack 3

20.08.2009 09:56:57
mbam-log-2009-08-20 (09-56-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146265
Laufzeit: 21 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


LOG 3

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2661
Windows 5.1.2600 Service Pack 3

20.08.2009 11:08:03
mbam-log-2009-08-20 (11-08-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146312
Laufzeit: 21 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\MSN\MSNCoreFiles\Install\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\SoftwareDistribution\Download\97cb99aa729a3e84c1961060d22d93aab9a0c576 (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\$NtServicePackUninstall$\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\$NtServicePackUninstall$\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
D:\Download\software\TweakPower.exe (Worm.Autorun) -> Quarantined and deleted successfully.
D:\Download\software\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe (Worm.Autorun) -> Quarantined and deleted successfully.

Fehlt euch noch irgendwas an infos? Würde echt gerne eure Meinung dazu höhren

Hallo und Herzlich Willkommen!

sieht nicht gut aus und befürchte ich so dass die Ergebnisse dich zur Formatierung zwingt
um es zu bestätigen, mache ein paar Kontrollscan:

1.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

2.
Führe dann einen FullSystem Scan mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.)
Speichere und Poste bitte das Logfile

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

So ich habe die beiden sachen wie beschrieben laufen lassen und beide haben nix gefunden. Der Nod32 hat mir leider nicht die möglichkeit gegeben nen Log anzeigen zu lassen oder zu speichern. AntiVir habe ich auch nochmal laufen lassen, ohne Absturz und ohne Schädliches Ergebnis. Nun bleibt noch die Frage, die sachen die Malwarebytes in Log3 gefunden hab ob die gefählich sind...zumindestens die letzen beiden daten in D:\ sind zu 99% nichts böses.

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Freitag, 21. August 2009 12:19:43
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 21/08/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2669597
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 57472
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:36:43

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Identities\{B95E4F82-0078-482A-BC62-A11A8E0A7433}\Microsoft\Outlook Express\Folders.dbx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Identities\{B95E4F82-0078-482A-BC62-A11A8E0A7433}\Microsoft\Outlook Express\Offline.dbx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Identities\{B95E4F82-0078-482A-BC62-A11A8E0A7433}\Microsoft\Outlook Express\Pop3uidl.dbx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Identities\{B95E4F82-0078-482A-BC62-A11A8E0A7433}\Microsoft\Outlook Express\Posteingang.dbx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Tim\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\{00000005-00000000-00000006-00001102-00000004-20021102}.CDF	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
:
         

hi

hmm..finde auch interessant, nämlich sind es Systemdateien...

**Spybot bitte abstellen! Falls "Tea Timer" auch aktiviert:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

6.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

das schaut nicht gut aus

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15077 [6xd8i19j.exe] - http://www.gmer.net
Rootkit scan 2009-08-21 17:49:44
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT     A569CA96                                                                     ZwCreateKey
SSDT     A569CA8C                                                                     ZwCreateThread
SSDT     A569CA9B                                                                     ZwDeleteKey
SSDT     A569CAA5                                                                     ZwDeleteValueKey
SSDT     A569CAAA                                                                     ZwLoadKey
SSDT     A569CA78                                                                     ZwOpenProcess
SSDT     A569CA7D                                                                     ZwOpenThread
SSDT     A569CAB4                                                                     ZwReplaceKey
SSDT     A569CAAF                                                                     ZwRestoreKey
SSDT     A569CAA0                                                                     ZwSetValueKey
SSDT     A569CA87                                                                     ZwTerminateProcess

---- Services - GMER 1.0.15 ----

Service   (*** hidden *** )                                                           [SYSTEM] UACd.sys    <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                        1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                         1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                    
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                        file system
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACsr                
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf              
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start                            1
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type                             1
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath                        
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group                            file system
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd                     
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc                     
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACsr                    
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr                   
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal                   
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem                   
Reg      HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf                  

---- EOF - GMER 1.0.15 ----
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:45, on 21.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239364897562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239364889375
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 5012 bytes
         

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\

21.08.2009  17:51                43 filelist.txt
21.08.2009  17:10     2.145.386.496 pagefile.sys
18.08.2009  11:26               223 boot.ini
04.11.2008  23:55           251.712 ntldr
04.11.2008  23:11                 0 MSDOS.SYS
04.11.2008  23:11                 0 IO.SYS
04.11.2008  23:11                 0 AUTOEXEC.BAT
04.11.2008  23:11                 0 CONFIG.SYS
04.08.2004  14:00             4.952 bootfont.bin
04.08.2004  14:00            47.564 NTDETECT.COM
              10 Datei(en)  2.145.690.990 Bytes
               0 Verzeichnis(se), 105.854.787.584 Bytes frei
 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS

21.08.2009  17:23           357.076 setupapi.log
21.08.2009  17:19         1.825.472 WindowsUpdate.log
21.08.2009  17:11                 0 0.log
21.08.2009  17:11               159 wiadebug.log
21.08.2009  17:11                50 wiaservc.log
21.08.2009  17:11             2.048 bootstat.dat
21.08.2009  14:00            32.618 SchedLgU.Txt
21.08.2009  14:00         4.958.588 {00000005-00000000-00000006-00001102-00000004-20021102}.BAK
21.08.2009  14:00         4.958.588 {00000005-00000000-00000006-00001102-00000004-20021102}.CDF
20.08.2009  02:25             1.470 wininit.ini
20.08.2009  01:36                10 run.log
20.08.2009  01:35                12 srun.log
18.08.2009  11:26               558 win.ini
18.08.2009  11:26               227 system.ini
11.08.2009  19:32               116 NeroDigital.ini
03.08.2009  17:56            25.719 wmsetup.log
19.07.2009  13:11            92.330 spupdsvc.log
19.07.2009  12:05            83.174 iis6.log
19.07.2009  12:05           158.990 comsetup.log
19.07.2009  12:05            94.941 ntdtcsetup.log
19.07.2009  12:05            23.459 KB973346.log
19.07.2009  12:05            24.644 ocmsn.log
19.07.2009  12:05           205.543 tsoc.log
19.07.2009  12:05             1.374 imsins.log
19.07.2009  12:05           261.818 ocgen.log
19.07.2009  12:05            26.491 msgsocm.log
19.07.2009  12:05           530.910 FaxSetup.log
19.07.2009  12:04            28.830 KB961371.log
19.07.2009  12:04             1.374 imsins.BAK
19.07.2009  12:04            28.642 KB971633.log
19.07.2009  12:04           103.940 KB969897-IE7.log
19.07.2009  12:03           158.643 updspapi.log
19.07.2009  12:03            19.355 KB970238.log
19.07.2009  12:03            18.682 KB968537.log
19.07.2009  12:03            18.318 KB961501.log
19.07.2009  12:03            18.261 KB959426.log
19.07.2009  12:03            17.238 KB960803.log
19.07.2009  12:03            17.706 KB952004.log
19.07.2009  12:03            14.908 KB956572.log
19.07.2009  12:03             9.231 KB923561.log
19.07.2009  12:02             5.416 KB961118.log
11.07.2009  19:40           174.200 setupact.log
10.04.2009  14:42            21.357 KB959772.log
10.04.2009  14:41            28.074 KB967715.log
10.04.2009  14:41            27.381 KB958690.log
10.04.2009  14:41            20.017 KB938464-v2.log
10.04.2009  14:41         1.024.900 setupapi.log.0.old
10.04.2009  14:41            27.014 KB960225.log
10.04.2009  14:41            27.247 KB961260-IE7.log
10.04.2009  14:41            13.292 KB960715.log
10.04.2009  14:35             9.358 KB958687.log
10.04.2009  14:35            13.741 KB952069.log
10.04.2009  14:35            27.547 KB955839.log
10.04.2009  14:35            13.818 KB956802.log
10.04.2009  14:35             8.723 KB954600.log
10.04.2009  14:35             9.123 KB957097.log
10.04.2009  14:35            13.330 KB954459.log
10.04.2009  14:35           316.152 msxml4-KB954430-enu.LOG
10.04.2009  14:35             8.635 KB955069.log
10.04.2009  14:35            13.416 KB951748.log
10.04.2009  13:48           810.821 setuplog.txt
13.03.2009  10:48               468 BRWMARK.INI
08.11.2008  14:23           100.265 DirectX.log

             171 Datei(en)     35.227.049 Bytes
               0 Verzeichnis(se), 105.854.771.200 Bytes frei
 
----- System  --- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS\system

14.04.2008  04:23           146.944 winspool.drv

              26 Datei(en)      1.695.739 Bytes
               0 Verzeichnis(se), 105.854.775.296 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS\system32

21.08.2009  17:11            55.160 ativvaxx.cap
21.08.2009  14:00            11.564 DVCState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
21.08.2009  14:00            31.056 BMXState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
21.08.2009  14:00            30.528 BMXCtrlState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
21.08.2009  14:00            31.056 BMXStateBkp-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
21.08.2009  14:00            30.528 BMXBkpCtrlState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
20.08.2009  11:16           333.312 netsetup.exe
20.08.2009  11:16            67.072 wextract.exe
20.08.2009  02:51             2.422 wpa.dbl
19.07.2009  13:13           432.356 perfh009.dat
19.07.2009  13:13            67.312 perfc009.dat
19.07.2009  13:13            79.910 perfc007.dat
19.07.2009  13:13           448.470 perfh007.dat
19.07.2009  13:13         1.042.054 PerfStringBackup.INI
19.07.2009  13:10           112.584 FNTCACHE.DAT
07.07.2009  08:10        24.539.592 MRT.exe
16.06.2009  16:36           119.808 t2embed.dll
16.06.2009  16:36            81.920 fontsub.dll
03.06.2009  21:09         1.296.896 quartz.dll
07.05.2009  17:32           348.160 localspl.dll
01.05.2009  23:02            90.112 dpl100.dll
01.05.2009  23:02           685.056 DivX.dll
01.05.2009  23:02           815.104 divx_xx0a.dll
01.05.2009  23:02           823.296 divx_xx07.dll
01.05.2009  23:02           802.816 divx_xx11.dll
01.05.2009  23:02           811.008 divx_xx16.dll
01.05.2009  23:02           823.296 divx_xx0c.dll
29.04.2009  06:42           827.392 wininet.dll
29.04.2009  06:42         1.159.680 urlmon.dll
29.04.2009  06:42           233.472 webcheck.dll
29.04.2009  06:42           102.912 occache.dll
29.04.2009  06:42           105.984 url.dll
29.04.2009  06:42            44.544 pngfilt.dll
29.04.2009  06:42           671.232 mstime.dll
29.04.2009  06:42           477.696 mshtmled.dll
29.04.2009  06:42           193.024 msrating.dll
29.04.2009  06:42         3.596.288 mshtml.dll
29.04.2009  06:42         1.830.912 inetcpl.cpl
29.04.2009  06:42           459.264 msfeeds.dll
29.04.2009  06:42            27.648 jsproxy.dll
29.04.2009  06:42            52.224 msfeedsbs.dll
29.04.2009  06:41           268.288 iertutil.dll
29.04.2009  06:41         6.066.176 ieframe.dll
29.04.2009  06:41            44.544 iernonce.dll
29.04.2009  06:41            78.336 ieencode.dll
29.04.2009  06:41           383.488 ieapfltr.dll
29.04.2009  06:41           385.024 iedkcs32.dll
29.04.2009  06:41           153.088 ieakeng.dll
29.04.2009  06:41           230.400 ieaksie.dll
29.04.2009  06:41            63.488 icardie.dll
29.04.2009  06:41           347.136 dxtmsft.dll
29.04.2009  06:41           133.120 extmgr.dll
29.04.2009  06:41           124.928 advpack.dll
29.04.2009  06:41           214.528 dxtrans.dll
28.04.2009  11:05           389.120 html.iec
28.04.2009  11:05            13.824 ieudinit.exe
28.04.2009  11:05            70.656 ie4uinit.exe
25.04.2009  07:26           161.792 ieakui.dll
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
10.04.2009  14:35           435.364 TZLog.log
21.03.2009  16:06         1.063.424 kernel32.dll
06.03.2009  16:19           286.720 pdh.dll
16.02.2009  18:58             1.080 settingsbkup.sfm
16.02.2009  18:58             1.080 settings.sfm
09.02.2009  13:21         2.026.496 ntkrnlpa.exe
09.02.2009  13:21         2.147.840 ntoskrnl.exe
09.02.2009  13:21           111.104 services.exe
09.02.2009  12:51           401.408 rpcss.dll
09.02.2009  12:51           736.768 lsasrv.dll
09.02.2009  12:51           678.400 advapi32.dll
09.02.2009  12:51           740.352 ntdll.dll
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll
09.01.2009  10:45             5.214 jupdate-1.6.0_02-b06.log

            2209 Datei(en)    552.524.345 Bytes
               0 Verzeichnis(se), 105.854.590.976 Bytes frei
 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS\Prefetch

21.08.2009  17:51            18.626 CMD.EXE-087B4001.pf
21.08.2009  17:51            11.534 FIND.EXE-0EC32F1E.pf
21.08.2009  17:51           108.704 WINRAR.EXE-3588DFE8.pf
21.08.2009  17:51            16.010 VERCLSID.EXE-3667BD89.pf
21.08.2009  17:50            51.518 WMIPRVSE.EXE-28F301A9.pf
21.08.2009  17:50            12.056 HIJACKTHIS.EXE-39024128.pf
21.08.2009  17:50            15.096 HJTINSTALL.EXE-32B578E5.pf
21.08.2009  17:49            16.630 NOTEPAD.EXE-336351A9.pf
21.08.2009  17:23            22.850 6XD8I19J.EXE-0BC56D07.pf
21.08.2009  17:12            40.062 SVCHOST.EXE-3530F672.pf
21.08.2009  17:12            76.812 FIREFOX.EXE-1D57670A.pf
21.08.2009  17:12           798.662 NTOSBOOT-B00DFAAD.pf
21.08.2009  13:30            58.242 WOW.EXE-1DC320E6.pf
21.08.2009  13:29            79.876 LAUNCHER.EXE-37FEA5BF.pf
21.08.2009  13:26            76.340 MSIMN.EXE-0B61806C.pf
21.08.2009  13:13            56.686 MBAM.EXE-11D8BBD8.pf
21.08.2009  13:13            62.686 SDUPDATE.EXE-30CF90C0.pf
21.08.2009  13:13            87.484 SPYBOTSD.EXE-1D495A65.pf
21.08.2009  12:58            72.644 IEXPLORE.EXE-2CA9778D.pf
21.08.2009  12:58            16.528 XP-ANTISPY.EXE-342429B8.pf
21.08.2009  12:58            50.902 MMC.EXE-398DCF39.pf
21.08.2009  12:23            11.162 ONLINECMDLINESCANNER.EXE-097841B8.pf
21.08.2009  12:21            19.034 REGSVR32.EXE-25EEFE2F.pf
21.08.2009  12:21            55.394 ESETSMARTINSTALLER.EXE-0788F715.pf
21.08.2009  11:12            51.340 AVNOTIFY.EXE-31D7686A.pf
21.08.2009  11:12            54.824 UPDATE.EXE-3398FCD6.pf
21.08.2009  11:12            55.104 AVCENTER.EXE-1D2DB8A2.pf
20.08.2009  21:00            31.808 LOGONUI.EXE-0AF22957.pf
20.08.2009  20:59            71.230 AVSCAN.EXE-25724B6E.pf
20.08.2009  11:09            11.498 MBAM-DOR.EXE-05145661.pf
20.08.2009  10:38            35.104 TWEAKPOWER.EXE-0AFD2255.pf
20.08.2009  10:38            28.244 MSCONFIG.EXE-35E4DAE9.pf
20.08.2009  10:28            56.738 AVCONFIG.EXE-18FA6095.pf
20.08.2009  10:16            19.642 WOW-3.2.0.10192-TO-3.2.0.1031-1E68B6F7.pf
20.08.2009  10:16            48.178 INSTALLER.EXE-2CD82E67.pf
20.08.2009  10:15            40.536 WOW-3.2.0.10192-TO-3.2.0.1031-03795A72.pf
20.08.2009  02:49            47.530 AVGUARD.EXE-16DEE89A.pf
20.08.2009  02:45            13.420 REGEDIT.EXE-1B606482.pf
20.08.2009  02:31             8.154 MBAMGUI.EXE-1E06AB95.pf
20.08.2009  02:31            20.550 MBAM-SETUP.TMP-252ACAE7.pf
20.08.2009  02:31            15.002 MBAM-SETUP.EXE-05D8789F.pf
20.08.2009  02:25            17.344 EXPLORER.EXE-082F38A9.pf
20.08.2009  02:10            17.504 SETUP.EXE-2B5DB5B7.pf
20.08.2009  02:10            29.178 TWEAKPOWER.EXE-0A59A67D.pf
20.08.2009  01:37            13.208 SPOOLSV.EXE-282F76A7.pf
20.08.2009  01:37            55.892 MSHTA.EXE-331DF029.pf
20.08.2009  01:37            16.350 PING.EXE-31216D26.pf
20.08.2009  01:37             7.562 INCOSNET.TMP-2084B63D.pf
20.08.2009  01:37            18.236 GUARDGUI.EXE-147E0160.pf
20.08.2009  01:26            41.312 ADOBE_UPDATER.EXE-059F58EC.pf
20.08.2009  01:26            40.876 SERR.TMP-36F4DB05.pf
20.08.2009  01:26            40.690 XSWMNAROCE.TMP-10747C60.pf
20.08.2009  01:13            80.210 WMPLAYER.EXE-09969339.pf
20.08.2009  01:08            63.270 WMPLAYER.EXE-0996933B.pf
20.08.2009  00:42            44.642 IPODSERVICE.EXE-233792DA.pf
20.08.2009  00:42            90.798 ITUNES.EXE-15E88941.pf
19.08.2009  23:11           318.126 Layout.ini
18.08.2009  11:27           110.030 TOMTOMHOMERUNTIME.EXE-3998B241.pf
18.08.2009  11:27            39.932 TOMTOMHOME.EXE-0873AD97.pf
18.08.2009  11:27            12.272 RUNDLL32.EXE-451FC2C0.pf
18.08.2009  11:26            18.694 TOMTOMHOMERUNNER.EXE-292CC297.pf
18.08.2009  11:26             6.792 TOMTOMHOMESERVICE.EXE-3172FBDA.pf
18.08.2009  11:26            27.796 MSIEXEC.EXE-2F8A8CAE.pf
18.08.2009  11:25            53.896 V2_7_0_1785_WIN.EXE-03E9A736.pf
18.08.2009  10:06            11.344 GOPOD-1.4.EXE-30EAB588.pf
18.08.2009  10:05            17.446 TASKMGR.EXE-20256C55.pf
17.08.2009  21:20            52.358 DFRGNTFS.EXE-269967DF.pf
17.08.2009  21:20            16.980 DEFRAG.EXE-273F131E.pf
17.08.2009  21:04            38.302 DIVXSM.EXE-38342704.pf
17.08.2009  21:03           129.462 WMPLAYER.EXE-0996933A.pf
16.08.2009  21:52            65.608 WMPLAYER.EXE-09969338.pf
16.08.2009  14:32            93.276 GOOGLEEARTH.EXE-0978F2AD.pf
15.08.2009  17:29            64.978 ACRORD32.EXE-2E761392.pf
15.08.2009  17:11            16.852 DIVXVERSIONCHECKER.EXE-109B55D3.pf
15.08.2009  11:15            12.594 CALC.EXE-02CD573A.pf
15.08.2009  02:32            42.650 RUNDLL32.EXE-1843B095.pf
14.08.2009  17:26            79.680 AFPROD.EXE-31E16CC0.pf
14.08.2009  17:25             8.530 FLYRUN.EXE-282E2045.pf
14.08.2009  15:59            68.716 ACRORD32INFO.EXE-19B1D743.pf
14.08.2009  11:21           104.012 LFS.EXE-0B62C2EE.pf
13.08.2009  17:54            14.106 RUNDLL32.EXE-1EDC75B1.pf
13.08.2009  15:37            12.940 AGENTSVR.EXE-002E45AB.pf
13.08.2009  15:36            55.148 EXCEL.EXE-3281D776.pf
10.08.2009  19:56            19.008 RUNDLL32.EXE-47705D3A.pf
09.08.2009  13:25            16.486 RUNDLL32.EXE-3E73F38A.pf
08.08.2009  19:26            39.142 DWWIN.EXE-30875ADC.pf
08.08.2009  18:46            69.464 WMPLAYER.EXE-09969336.pf
08.08.2009  17:28            62.340 IMAPI.EXE-0BF740A4.pf
08.08.2009  17:11            55.212 NERO.EXE-32314E31.pf
08.08.2009  17:11            58.120 NEROSTARTSMART.EXE-280EC446.pf
07.08.2009  11:39            39.806 SDFILES.EXE-2A9F026A.pf
06.08.2009  11:00            86.052 WMPLAYER.EXE-09969332.pf
05.08.2009  22:45            52.274 UPDATE.EXE-3637A1A8.pf
05.08.2009  09:06            46.252 BLIZZARD UPDATER.EXE-336551FF.pf
05.08.2009  09:04            37.688 WOW-3.1.3.9947-TO-3.2.0.10192-397AB88C.pf
04.08.2009  12:43            15.118 HELPER.EXE-244ABC1F.pf
04.08.2009  12:43            59.978 UPDATER.EXE-2A59E7F2.pf
03.08.2009  17:56            26.740 SETUP_WM.EXE-19AC5A9B.pf
02.08.2009  14:10            17.904 RUNDLL32.EXE-34C3332F.pf
30.07.2009  11:23            14.440 ADVCHECK163.EXE-3B5E1FCA.pf
30.07.2009  11:23            27.184 ADVCHECK163.TMP-03C51571.pf
30.07.2009  11:23            14.370 UPDATE.EXE-334BAC79.pf
25.07.2009  17:41            35.458 RUNDLL32.EXE-2576181F.pf
25.07.2009  11:51            71.794 BACKGROUNDDOWNLOADER.EXE-2479B759.pf
23.07.2009  20:26            59.534 DIVX PLAYER.EXE-0459E47A.pf
22.07.2009  22:27            22.210 RUNDLL32.EXE-1E9576F9.pf
18.03.2009  16:23            31.016 AVWSC.EXE-3AC95876.pf
             107 Datei(en)      5.491.622 Bytes
               0 Verzeichnis(se), 105.854.660.608 Bytes frei
 
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS\tasks

21.08.2009  17:11                 6 SA.DAT
04.08.2004  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 105.854.656.512 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\WINDOWS\Temp

 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 1841-544A

 Verzeichnis von C:\DOKUME~1\Tim\LOKALE~1\Temp

21.08.2009  13:28           128.480 hmH8rUTY.zip.part
21.08.2009  12:44            14.896 NOD363.tmp
21.08.2009  12:44            57.344 NOD40C.tmp
21.08.2009  12:44            47.868 NOD40B.tmp
21.08.2009  12:44                 0 NOD365.tmp
20.08.2009  01:26             1.024 etilqs_RDe5CG7XBfA3ABJuOobe
20.08.2009  01:26             1.544 etilqs_ahQzwW01ooDebyEcxj3n
               7 Datei(en)        251.156 Bytes
               0 Verzeichnis(se), 105.854.656.512 Bytes frei
         

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
AeroFly Professional Deluxe
AMD Processor Driver
Apple Mobile Device Support
Apple Software Update
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Bonjour
Brother MFL-Pro Suite
CCleaner (remove only)
Creative-Audiokonsole
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
ESET Online Scanner v3
Google Earth
Haufe iDesk-Browser
Haufe iDesk-Service
HijackThis 2.0.2
iTunes
Java(TM) 6 Update 2
Kaspersky Online Scanner
Lexware Info Service
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.2)
MSXML 4.0 SP2 (KB954430)
Nero 6 Ultra Edition
NVIDIA Drivers
PaperPort
QuickSteuer 2009
QuickTime
Razer Copperhead
Spelling Dictionaries Support For Adobe Reader 9
Spybot - Search & Destroy
TeamSpeak 2 RC2
TomTom HOME 2.7.0.1785
TomTom HOME Visual Studio Merge Modules
TweakPower
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
World of Warcraft
World of Warcraft FREE Trial
         

Hier nochmal nen Aktueller Malwarebytes scan. Findet wie auch spybot, antivir und die beiden Online scanner nichts. Nur GMER meldet das da noch was ist. Bekommt man den denn überhaubt noch weg? Ich meine ohne Neuaufsetzung des systems?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2668
Windows 5.1.2600 Service Pack 3

21.08.2009 21:11:20
mbam-log-2009-08-21 (21-11-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 140219
Laufzeit: 17 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Zitat von bloodhound01

Nur GMER meldet das da noch was ist.

tja..das ist ein Rootkit/wikipedia.org
Da eine 100%ige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation.

Zitat:

Zitat von bloodhound01

Bekommt man den denn überhaubt noch weg? Ich meine ohne Neuaufsetzung des systems?

können wir ja versuchen, aber "Voller" Erfolg nicht garantiert
Falls Du dein System doch reinigen möchtest:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Drivers to disable:
UACd.sys
Drivers to delete:
UACd.sys
         

2.
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

3.
dann Punkt 6. weiter-> http://www.trojaner-board.de/76584-b...tml#post458134

4.
lass dan GMER nochmal laufen (laut Anleitung)

so hab´s nach besten wissen ausgeführt. Bei FindyKill sollte ich ja "F" auswählen, ist das wichtig oder könnte man auch "E" für englich nehmen?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "UACd.sys" disabled successfully.
Driver "UACd.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Code: Alles auswählenAufklappen

ATTFilter

############################## | FindyKill V5.006 |


############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE

################## | C: |


################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf  

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Dokumente und Einstellungen\Tim\Anwendungsdaten |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.006 ! |
         

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15077 [6xd8i19j.exe] - http://www.gmer.net
Rootkit scan 2009-08-21 23:31:23
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            BA7C2CAE                  ZwCreateKey
SSDT            BA7C2CA4                  ZwCreateThread
SSDT            BA7C2CB3                  ZwDeleteKey
SSDT            BA7C2CBD                  ZwDeleteValueKey
SSDT            BA7C2CC2                  ZwLoadKey
SSDT            BA7C2C90                  ZwOpenProcess
SSDT            BA7C2C95                  ZwOpenThread
SSDT            BA7C2CCC                  ZwReplaceKey
SSDT            BA7C2CC7                  ZwRestoreKey
SSDT            BA7C2CB8                  ZwSetValueKey
SSDT            BA7C2C9F                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Kann es sein das eins der Tool´s Avenger oder FindKill Dienste anschaltet, die aus wahren? z.b. Sicherheitscenter oder Automatisches Update?

hi

Zitat:

Zitat von bloodhound01

Kann es sein das eins der Tool´s Avenger oder FindKill Dienste anschaltet, die aus wahren? z.b. Sicherheitscenter oder Automatisches Update?

nein..
an erster Stelle ein Rootkit war dafür dafür verantwortlich!

Jetzt erst mal noch ein bisschen aufräumen:

1.
- Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc)
- Entferne Gmer
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren
- FindyKill kannst auch entfernen
- Kaspersky Online Scanner deinstallieren

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`

Code: Alles auswählenAufklappen

ATTFilter

Java(TM) 6 Update 2
         

** wie läuft dein system nun?

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 08/23/2009 bei 07:36 PM

Version der Applikation : 4.27.1002

Version der Kern-Datenbank : 4067
Version der Spur-Datenbank : 2007

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:13:26

Gescannte Speicherelemente  : 405
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4898
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 17339
Erfasste Datei-Elemente   : 0
         

Malwarebytes, Spybot, SuperAntiSpyware suchen doch nun alle nach dem gleichen oder sind für´s gleiche da. Welches von denen ist den nun das "beste" oder ist das von fall zu fall verschieben? Weil ich würde dann nämlich gerne 2 der 3 wieder löschen und mich nur mit einem auseinander setzen.

Zitat:

5.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`
Code:

Java(TM) 6 Update 2

** wie läuft dein system nun?

Das verstehe ich nicht soganz

- "von fall zu fall verschieden", jedes Programm hat seine Besonderheiten bzw "Gebiet"
Spybot ist eher für die allgemeine Nutzung für "Otto-Normal-Surfer"...

- was verstehst Du bitte nicht?
gehe auf `Start→ Systemsteuereung→ Java→ Aktualisierung...
die neusten Updates für das Java ziehen
wenn das alte Update existiert noch:
"Java(TM) 6 Update 2"
dann unter `Systemsteuerung → Software → Ändern/Entfernen...` einfach deinstallieren
wenn nach einem Neustart nicht mehr da, dann ist gut

- Malwarebytes' Anti-Malware und SUPERAntiSpyware kannst Du schon deinstallieren

um sicher gehen kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code: Alles auswählenAufklappen

ATTFilter

bitdefender
emsisoft
f-secure
         

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

Zitat:

gehe auf `Start→ Systemsteuereung→ Java→ Aktualisierung...

gibt es bei mir nicht

Zitat:

Spybot ist eher für die allgemeine Nutzung für "Otto-Normal-Surfer"...

ok. und welches der 3 ist das beste? oder findet für "Otto-normal-Surfer" am meisten?