Trojaner nach mündlicher Ankündigung?

raketentoni · 28.09.2009, 09:17

da isser wieder. er hats auf mich abgesehen!

raketentoni · 28.09.2009, 09:32

Zitat:

Zitat von cosinus

Du sollst ja auch nicht die Dateien selbst hochladen, sondern nur das Logfile...

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2735
Windows 5.1.2600 Service Pack 2

03.09.2009 18:47:53
mbam-log-2009-09-03 (18-47-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 30630
Laufzeit: 11 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\dmloader32.dll (Trojan.Tracur) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\6cce7c29660 (Trojan.Tracur) -> Delete on reboot.
HKEY_CLASSES_ROOT\popsicle.comadvpro (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popsicle.comadvpro.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd796033-04ae-4b69-8cb2-92bd6c2aaa27} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{f7759abc-b7d8-437c-adc4-b35f2e1692cc} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{be2ce3a1-0e47-4f12-a243-8fccced94209} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a67b8fe1-8e6d-44d6-8d74-9c28e7bff35c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a67b8fe1-8e6d-44d6-8d74-9c28e7bff35c} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\dmloader32.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\dmloader32.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\dmloader32.dll (Trojan.Tracur) -> Delete on reboot.

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2735
Windows 5.1.2600 Service Pack 2

04.09.2009 18:33:18
mbam-log-2009-09-04 (18-33-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 221841
Laufzeit: 1 hour(s), 13 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 9
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService (Worm.Archive) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\FunWebProducts\ScreenSaver\Images\00136862.urr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\History\search2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\setting2.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\setting2.htm.bak (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\settings.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\settings.dat.bak (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\279.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\279.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\280.setup.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\280.setup.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\281.music.au (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\281.music.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\282.music2.au (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\282.music2.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\283.music3.au (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\283.music3.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\284.music4.au (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LocalService\284.music4.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicy000.dat (Malware.Trace) -> Quarantined and deleted successfully.

cosinus · 28.09.2009, 16:13

Ob man Dir beim Bereinigen einen Gefallen mit tut bezweifel ich...
Erstell trotzdem mal RSIT Logfiles und lad die bitte der Übersicht wegen bei file-upload.net hoch und verlink das Ganze dann hier.

raketentoni · 28.09.2009, 19:28

Zitat:

Zitat von cosinus

Ob man Dir beim Bereinigen einen Gefallen mit tut bezweifel ich...
Erstell trotzdem mal RSIT Logfiles und lad die bitte der Übersicht wegen bei file-upload.net hoch und verlink das Ganze dann hier.

http://www.file-upload.net/download-...5/log.txt.html

also um es nochmal zu betonen: mir soll hier keiner den rechner reparieren! ich will nur wissen ob man einen virus auf meinem system finden kann der durch eine bestimmte person möglicherweise irgendwie installiert wurde. zur erinnerung: die av meldung bei suchergebnisse google.

grüße!

cosinus · 28.09.2009, 19:44

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\ICQJnfDp1kOUU.vbs
C:\WINDOWS\system32\B48.tmp
C:\WINDOWS\system32\QigQJ.vbs
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\drivers\CdaD10BA.SYS

raketentoni · 28.09.2009, 21:22

Zitat:

Zitat von cosinus

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\ICQJnfDp1kOUU.vbs
C:\WINDOWS\system32\B48.tmp
C:\WINDOWS\system32\QigQJ.vbs
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\drivers\CdaD10BA.SYS

so richtig?:

Datei JRRj1.vbs.vir empfangen 2009.09.25 09:36:20 (UTC)
Status: Beendet

Ergebnis: 15/41 (36.59%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.25 Trojan.Script!IK
AhnLab-V3 5.0.0.2 2009.09.24 VBS/Xema
AntiVir 7.9.1.25 2009.09.25 SPR/FWBypass.B
Antiy-AVL 2.0.3.7 2009.09.25 -
Authentium 5.1.2.4 2009.09.25 VBS/Agent.EM
Avast 4.8.1351.0 2009.09.24 -
AVG 8.5.0.412 2009.09.25 -
BitDefender 7.2 2009.09.25 Trojan.Script.54735
CAT-QuickHeal 10.00 2009.09.25 -
ClamAV 0.94.1 2009.09.25 -
Comodo 2430 2009.09.25 -
DrWeb 5.0.0.12182 2009.09.25 -
eSafe 7.0.17.0 2009.09.24 Win32.Horse
eTrust-Vet 31.6.6760 2009.09.25 -
F-Prot 4.5.1.85 2009.09.24 VBS/Agent.EM
F-Secure 8.0.14470.0 2009.09.25 -
Fortinet 3.120.0.0 2009.09.25 -
GData 19 2009.09.25 Trojan.Script.54735
Ikarus T3.1.1.72.0 2009.09.25 Trojan.Script
Jiangmin 11.0.800 2009.09.25 -
K7AntiVirus 7.10.853 2009.09.24 -
Kaspersky 7.0.0.125 2009.09.25 -
McAfee 5751 2009.09.24 -
McAfee+Artemis 5751 2009.09.24 -
McAfee-GW-Edition 6.8.5 2009.09.25 Riskware.FWBypass.B
Microsoft 1.5005 2009.09.23 -
NOD32 4456 2009.09.25 VBS/Disabler.NAB
Norman 6.01.09 2009.09.24 VBS/Smalltroj.XSV
nProtect 2009.1.8.0 2009.09.25 -
Panda 10.0.2.2 2009.09.24 VBS/Disabler.E
PCTools 4.4.2.0 2009.09.24 -
Prevx 3.0 2009.09.25 -
Rising 21.48.42.00 2009.09.25 -
Sophos 4.45.0 2009.09.25 Troj/Fwdisab-B
Sunbelt 3.2.1858.2 2009.09.24 -
Symantec 1.4.4.12 2009.09.25 Trojan Horse
TheHacker 6.5.0.2.017 2009.09.24 -
TrendMicro 8.950.0.1094 2009.09.25 -
VBA32 3.12.10.11 2009.09.25 -
ViRobot 2009.9.25.1954 2009.09.25 -
VirusBuster 4.6.5.0 2009.09.24 -
weitere Informationen
File size: 615 bytes
MD5 : 768466ea2059580a84f9c0e68d94c644
SHA1 : c9ad3cf2b59f4335e92a0640a51c4c52196f7836
SHA256: aa24f9656f6e05d6640100c4d263a6189efdbb102aff72fd8e69c366d8e69cc9
TrID : File type identification
Unknown!
ssdeep: 12:tKT0GWo29iS7fwdRbXc6cw49iFMXFPYjW/QakgNOfwv1SvWdg4chZ:tKWo29iSbyNM9hyW/zh6JA3chZ
PEiD : -
RDS : NSRL Reference Data Set

raketentoni · 28.09.2009, 21:32

Datei QigQJ.vbs empfangen 2009.09.28 20:23:46 (UTC)
Status: Beendet

Ergebnis: 15/41 (36.59%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.28 Trojan.Script!IK
AhnLab-V3 5.0.0.2 2009.09.28 VBS/Xema
AntiVir 7.9.1.27 2009.09.28 SPR/FWBypass.B
Antiy-AVL 2.0.3.7 2009.09.28 -
Authentium 5.1.2.4 2009.09.28 VBS/Agent.EM
Avast 4.8.1351.0 2009.09.28 -
AVG 8.5.0.412 2009.09.28 -
BitDefender 7.2 2009.09.28 Trojan.Script.54735
CAT-QuickHeal 10.00 2009.09.26 -
ClamAV 0.94.1 2009.09.28 -
Comodo 2462 2009.09.28 -
DrWeb 5.0.0.12182 2009.09.28 -
eSafe 7.0.17.0 2009.09.24 Win32.Horse
eTrust-Vet 31.6.6763 2009.09.27 -
F-Prot 4.5.1.85 2009.09.27 VBS/Agent.EM
F-Secure 8.0.14470.0 2009.09.28 -
Fortinet 3.120.0.0 2009.09.28 -
GData 19 2009.09.28 Trojan.Script.54735
Ikarus T3.1.1.72.0 2009.09.28 Trojan.Script
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.855 2009.09.26 -
Kaspersky 7.0.0.125 2009.09.28 -
McAfee 5755 2009.09.28 -
McAfee+Artemis 5755 2009.09.28 -
McAfee-GW-Edition 6.8.5 2009.09.28 Riskware.FWBypass.B
Microsoft 1.5005 2009.09.23 -
NOD32 4465 2009.09.28 VBS/Disabler.NAB
Norman 6.01.09 2009.09.28 VBS/Smalltroj.XSV
nProtect 2009.1.8.0 2009.09.28 -
Panda 10.0.2.2 2009.09.28 VBS/Disabler.E
PCTools 4.4.2.0 2009.09.28 -
Prevx 3.0 2009.09.28 -
Rising 21.49.04.00 2009.09.28 -
Sophos 4.45.0 2009.09.28 Troj/Fwdisab-B
Sunbelt 3.2.1858.2 2009.09.28 -
Symantec 1.4.4.12 2009.09.28 Trojan Horse
TheHacker 6.5.0.2.020 2009.09.28 -
TrendMicro 8.950.0.1094 2009.09.25 -
VBA32 3.12.10.11 2009.09.27 -
ViRobot 2009.9.28.1960 2009.09.28 -
VirusBuster 4.6.5.0 2009.09.28 -
weitere Informationen
File size: 615 bytes
MD5 : 768466ea2059580a84f9c0e68d94c644
SHA1 : c9ad3cf2b59f4335e92a0640a51c4c52196f7836
SHA256: aa24f9656f6e05d6640100c4d263a6189efdbb102aff72fd8e69c366d8e69cc9
TrID : File type identification
Unknown!
ssdeep: 12:tKT0GWo29iS7fwdRbXc6cw49iFMXFPYjW/QakgNOfwv1SvWdg4chZ:tKWo29iSbyNM9hyW/zh6JA3chZ
PEiD : -
RDS : NSRL Reference Data Set

Datei CdaD10BA.SYS empfangen 2009.08.15 23:47:41 (UTC)
Status: Beendet

Ergebnis: 0/39 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.15 -
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.14 -
Antiy-AVL 2.0.3.7 2009.08.14 -
Authentium 5.1.2.4 2009.08.15 -
Avast 4.8.1335.0 2009.08.15 -
AVG 8.5.0.406 2009.08.15 -
BitDefender 7.2 2009.08.16 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.15 -
Comodo 1982 2009.08.16 -
DrWeb 5.0.0.12182 2009.08.16 -
eSafe 7.0.17.0 2009.08.13 -
eTrust-Vet 31.6.6678 2009.08.14 -
F-Prot 4.4.4.56 2009.08.15 -
Fortinet 3.120.0.0 2009.08.15 -
GData 19 2009.08.16 -
Ikarus T3.1.1.64.0 2009.08.15 -
Jiangmin 11.0.800 2009.08.15 -
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 -
McAfee 5710 2009.08.15 -
McAfee+Artemis 5710 2009.08.15 -
McAfee-GW-Edition 6.8.5 2009.08.15 -
Microsoft 1.4903 2009.08.16 -
NOD32 4338 2009.08.15 -
Norman 6.01.09 2009.08.14 -
nProtect 2009.1.8.0 2009.08.15 -
Panda 10.0.0.14 2009.08.15 -
Prevx 3.0 2009.08.16 -
Rising 21.42.52.00 2009.08.15 -
Sophos 4.44.0 2009.08.16 -
Sunbelt 3.2.1858.2 2009.08.15 -
Symantec 1.4.4.12 2009.08.16 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 -
VBA32 3.12.10.9 2009.08.15 -
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.15 -
weitere Informationen
File size: 12464 bytes
MD5 : 841cefab8228ee691705d059e7f21c47
SHA1 : e51daf934231aa5fc61d1ebab5081c85fb1bd0f7
SHA256: 3255d307974f7e9281dbcee993ee2b91cb2b15622a06922b1d1134e91d65948a
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23E0
timedatestamp.....: 0x3D2016F3 (Mon Jul 1 10:46:43 2002)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x1B95 0x1BA0 6.35 74e39e24ee2e873af2cd19766640abf4
.data 0x1E20 0x5B8 0x5C0 1.58 476ea7a54e4d8d5bf6ab8ef61871ba5c
INIT 0x23E0 0x1F2 0x200 5.28 b35a7b0ffa0a240b78a73826a4941a07
.rsrc 0x25E0 0x408 0x420 3.33 ea071090a7a3fdaa4ba37db76a43e9fe
.reloc 0x2A00 0x1AE 0x1C0 5.49 2a603a66079d68b1f88c13327343b469

( 1 imports )

> ntoskrnl.exe: IoDeleteSymbolicLink, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, RtlEqualUnicodeString, NtBuildNumber, RtlQueryRegistryValues, PsGetVersion, KeTickCount, MmIsAddressValid, RtlUnwind, ExAllocatePoolWithTag, ExFreePool, IofCompleteRequest

( 0 exports )

TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 384:hHRAXETwq/Afk1zaNPw2YPa72JFlwZcz4Z31Ws9:hRTbAf8aNPTYPg0wZPN1/
PEiD : -
RDS : NSRL Reference Data Set

die anderen beiden gehen nicht.

cosinus · 03.10.2009, 11:10

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Anschließend:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\ICQJnfDp1kOUU.vbs
C:\WINDOWS\system32\B48.tmp
C:\WINDOWS\system32\QigQJ.vbs
C:\WINDOWS\system32\systems.txt

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Nach dem Avenger: Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

raketentoni · 05.10.2009, 19:01

ogfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ICQJnfDp1kOUU.vbs" deleted successfully.
File "C:\WINDOWS\system32\B48.tmp" deleted successfully.
File "C:\WINDOWS\system32\QigQJ.vbs" deleted successfully.

Error: file "C:\WINDOWS\system32\systems.txt" not found!
Deletion of file "C:\WINDOWS\system32\systems.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )
BIOS : Version 1.00
USER : Dederichs ( Administrator )
BOOT : Normal boot
Antivirus : avast! Antivirus 5.0.83886184 (Activated)
C:\ (Local Disk) - NTFS - Total:39 Go (Free:13 Go)
D:\ (Local Disk) - FAT32 - Total:37 Go (Free:26 Go)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 05.10.2009|19:55 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[05.08.2009|14:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[10.11.2007|09:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Alawar Stargaze
[19.11.2007|19:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Aliasworlds
[12.09.2009|13:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Alwil Software
[25.10.2007|13:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[25.10.2007|13:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[14.11.2008|08:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AVS4YOU
[07.02.2009|15:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Captimizer
[27.03.2008|18:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[13.10.2007|14:39] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InterAction studios
[09.08.2009|10:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[03.09.2009|18:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[22.08.2008|20:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[13.09.2007|23:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
[17.08.2009|16:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MyPDFCreator
[22.06.2009|23:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PC Drivers HeadQuarters
[10.11.2007|14:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PlayFirst
[01.12.2007|18:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sandlot Games
[27.09.2007|15:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SkillJam
[21.12.2007|22:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[03.10.2007|11:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TERMINAL Studio
[14.09.2007|21:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
[13.09.2007|20:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[14.02.2008|12:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo!
[28.12.2007|12:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[27|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[17.08.2009|16:27] C:\DOKUME~1\DEDERI~1\ANWEND~1\$Inst$
[17.11.2007|20:50] C:\DOKUME~1\DEDERI~1\ANWEND~1\Abra Academy2
[20.12.2007|19:10] C:\DOKUME~1\DEDERI~1\ANWEND~1\Ace
[07.01.2008|22:44] C:\DOKUME~1\DEDERI~1\ANWEND~1\Adobe
[02.01.2008|01:18] C:\DOKUME~1\DEDERI~1\ANWEND~1\Ahead
[25.10.2007|13:47] C:\DOKUME~1\DEDERI~1\ANWEND~1\Apple Computer
[14.11.2008|08:41] C:\DOKUME~1\DEDERI~1\ANWEND~1\AVS4YOU
[26.11.2007|15:41] C:\DOKUME~1\DEDERI~1\ANWEND~1\CoolCalendar
[26.10.2008|23:23] C:\DOKUME~1\DEDERI~1\ANWEND~1\DivX
[18.05.2008|16:52] C:\DOKUME~1\DEDERI~1\ANWEND~1\flightgear.org
[19.12.2007|21:12] C:\DOKUME~1\DEDERI~1\ANWEND~1\Gaijin Ent
[24.09.2007|11:45] C:\DOKUME~1\DEDERI~1\ANWEND~1\Google
[14.01.2009|15:32] C:\DOKUME~1\DEDERI~1\ANWEND~1\Help
[10.07.2008|14:23] C:\DOKUME~1\DEDERI~1\ANWEND~1\ICQ
[21.11.2007|12:57] C:\DOKUME~1\DEDERI~1\ANWEND~1\Identities
[26.08.2009|12:23] C:\DOKUME~1\DEDERI~1\ANWEND~1\LimeWire
[08.11.2007|12:14] C:\DOKUME~1\DEDERI~1\ANWEND~1\Macromedia
[03.09.2009|18:23] C:\DOKUME~1\DEDERI~1\ANWEND~1\Malwarebytes
[10.08.2009|11:09] C:\DOKUME~1\DEDERI~1\ANWEND~1\Microsoft
[17.09.2008|15:35] C:\DOKUME~1\DEDERI~1\ANWEND~1\Mozilla
[13.09.2007|23:15] C:\DOKUME~1\DEDERI~1\ANWEND~1\MSN6
[05.10.2009|19:50] C:\DOKUME~1\DEDERI~1\ANWEND~1\OpenOffice.org2
[01.01.2009|16:03] C:\DOKUME~1\DEDERI~1\ANWEND~1\Petroglyph
[10.11.2007|12:56] C:\DOKUME~1\DEDERI~1\ANWEND~1\Pi Eye Games
[10.11.2007|14:42] C:\DOKUME~1\DEDERI~1\ANWEND~1\PlayFirst
[05.06.2009|16:27] C:\DOKUME~1\DEDERI~1\ANWEND~1\Samsung
[12.08.2009|19:41] C:\DOKUME~1\DEDERI~1\ANWEND~1\Softplicity
[10.11.2007|14:41] C:\DOKUME~1\DEDERI~1\ANWEND~1\SpinTop
[08.10.2007|18:45] C:\DOKUME~1\DEDERI~1\ANWEND~1\Sun
[14.11.2007|15:46] C:\DOKUME~1\DEDERI~1\ANWEND~1\Super-Cow
[03.12.2007|17:54] C:\DOKUME~1\DEDERI~1\ANWEND~1\T-Online Internet Telefon
[06.08.2008|09:49] C:\DOKUME~1\DEDERI~1\ANWEND~1\TurboDemo
[19.10.2007|17:34] C:\DOKUME~1\DEDERI~1\ANWEND~1\URSE Games
[14.02.2008|12:35] C:\DOKUME~1\DEDERI~1\ANWEND~1\Yahoo!
[10.11.2007|10:25] C:\DOKUME~1\DEDERI~1\ANWEND~1\Zak&Jack
[21.11.2007|12:57] C:\DOKUME~1\DEDERI~1\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\DEDERI~1\ANWEND~1\Bytes
[38|Verzeichnis(se),] C:\DOKUME~1\DEDERI~1\ANWEND~1\Bytes frei

[13.09.2007|18:36] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[06.11.2007|19:25] C:\DOKUME~1\Gast\ANWEND~1\Identities
[06.11.2007|19:26] C:\DOKUME~1\Gast\ANWEND~1\Macromedia
[10.11.2007|12:43] C:\DOKUME~1\Gast\ANWEND~1\Microsoft
[04.12.2007|15:32] C:\DOKUME~1\Gast\ANWEND~1\OpenOffice.org2
[0|Datei(en)] C:\DOKUME~1\Gast\ANWEND~1\Bytes
[6|Verzeichnis(se),] C:\DOKUME~1\Gast\ANWEND~1\Bytes frei

[14.09.2007|07:57] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[27.04.2009|13:34] C:\DOKUME~1\LOCALS~1\ANWEND~1\Softland
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[13.09.2007|18:40] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[05.10.2009 19:28][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-381150471-2035789119-2382750585-1003UA.job
[02.10.2009 16:28][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-381150471-2035789119-2382750585-1003Core.job
[28.09.2009 22:54][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[05.10.2009 19:48][--ah-----] C:\WINDOWS\tasks\SA.DAT
[18.08.2001 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[05.08.2009|14:14] C:\Programme\Adobe
[31.12.2008|18:56] C:\Programme\Agfa
[18.09.2007|17:14] C:\Programme\AirXonix
[22.10.2007|17:36] C:\Programme\Alien Sky
[12.09.2009|13:44] C:\Programme\Alwil Software
[15.09.2007|21:56] C:\Programme\Another Day
[25.10.2007|13:43] C:\Programme\Apple Software Update
[14.11.2007|16:00] C:\Programme\Astariel
[22.12.2007|01:53] C:\Programme\Astro Fury
[22.10.2007|17:36] C:\Programme\AstroAvenger
[14.11.2008|08:40] C:\Programme\AVS4YOU
[07.12.2007|17:40] C:\Programme\Black Isle
[14.11.2007|16:03] C:\Programme\Bluefish Games
[03.09.2009|18:05] C:\Programme\CCleaner
[06.12.2007|14:39] C:\Programme\Clash N Slash
[13.09.2007|19:05] C:\Programme\C-Media 3D Audio
[13.09.2007|18:33] C:\Programme\ComPlus Applications
[26.11.2007|15:47] C:\Programme\CooSoft
[09.11.2007|20:30] C:\Programme\Crimsonland
[14.11.2007|16:00] C:\Programme\Desperate Space
[09.11.2007|20:13] C:\Programme\Devastation Zone Troopers
[17.10.2008|11:19] C:\Programme\DivX
[13.06.2009|11:38] C:\Programme\Dornier GmbH
[04.01.2008|19:23] C:\Programme\EA GAMES
[23.06.2009|12:52] C:\Programme\ElsterFormular
[22.12.2007|01:54] C:\Programme\Feeding Frenzy 2
[14.11.2007|16:01] C:\Programme\Flatspace II
[25.07.2008|06:53] C:\Programme\FlightGear
[06.11.2007|13:44] C:\Programme\Galactix Shareware
[13.07.2009|15:42] C:\Programme\Gemeinsame Dateien
[08.12.2007|18:47] C:\Programme\GoldMinerVegas_at
[28.03.2008|09:35] C:\Programme\Google
[11.09.2009|22:03] C:\Programme\gpsPhotoTagger
[08.12.2007|18:53] C:\Programme\Gunner 2
[06.11.2007|13:47] C:\Programme\Hawaiian Explorer Pearl Harbor
[06.12.2007|14:40] C:\Programme\Heavy Weapon
[03.09.2009|16:11] C:\Programme\InstallShield Installation Information
[11.09.2009|21:15] C:\Programme\Internet Explorer
[25.10.2007|13:47] C:\Programme\iPod
[25.10.2007|13:47] C:\Programme\iTunes
[02.09.2009|15:44] C:\Programme\Java
[18.09.2007|21:06] C:\Programme\KraiSoft
[28.03.2008|10:20] C:\Programme\LimeWire
[22.12.2007|20:26] C:\Programme\Logitech
[01.01.2009|15:52] C:\Programme\LucasArts
[22.10.2007|17:35] C:\Programme\Magic Ball 3
[03.09.2009|18:22] C:\Programme\Malwarebytes' Anti-Malware
[13.09.2007|22:01] C:\Programme\Markets-pro
[14.08.2008|10:00] C:\Programme\Messenger
[22.08.2008|20:26] C:\Programme\Microsoft ActiveSync
[25.10.2007|15:17] C:\Programme\microsoft frontpage
[22.08.2008|20:26] C:\Programme\Microsoft Office
[13.09.2007|20:24] C:\Programme\Movie Maker
[03.09.2009|16:59] C:\Programme\Mozilla Firefox
[09.08.2009|08:47] C:\Programme\MSBuild
[13.09.2007|18:32] C:\Programme\MSN
[02.10.2007|21:30] C:\Programme\MSN Games
[13.09.2007|18:32] C:\Programme\MSN Gaming Zone
[13.09.2007|21:13] C:\Programme\MSXML 4.0
[13.09.2007|21:13] C:\Programme\MSXML 6.0
[17.08.2009|16:29] C:\Programme\MyPDFCreator
[31.12.2007|15:34] C:\Programme\Nero
[13.09.2007|20:22] C:\Programme\NetMeeting
[27.04.2009|13:31] C:\Programme\NovaPDF
[22.10.2007|17:35] C:\Programme\Nuclear Ball 2
[13.09.2007|18:32] C:\Programme\Online Services
[13.09.2007|18:35] C:\Programme\Online-Dienste
[02.11.2007|13:26] C:\Programme\OpenOffice.org 2.3
[12.08.2009|15:09] C:\Programme\Outlook Express
[14.11.2007|17:44] C:\Programme\OXXOGames
[08.12.2007|18:48] C:\Programme\Pacific Heroes
[02.10.2007|21:33] C:\Programme\PacMan Adventures 3D
[12.08.2009|19:41] C:\Programme\PDF Combine
[27.04.2009|13:57] C:\Programme\PDF Converter
[19.08.2009|12:03] C:\Programme\pdf24
[03.10.2007|20:49] C:\Programme\QuickTime
[19.01.2008|17:31] C:\Programme\QuoteCompiler
[21.11.2007|12:54] C:\Programme\QuoteTracker
[02.12.2007|18:36] C:\Programme\Real
[07.12.2007|17:54] C:\Programme\Red Storm Entertainment
[09.08.2009|08:47] C:\Programme\Reference Assemblies
[10.10.2007|19:42] C:\Programme\ReflexiveArcade
[10.11.2007|12:56] C:\Programme\RIP
[17.11.2007|20:09] C:\Programme\Saints & Sinners Bowling
[30.05.2009|09:47] C:\Programme\Samsung
[14.11.2007|16:02] C:\Programme\Scavenger
[14.11.2007|16:02] C:\Programme\Star Defender 3
[14.11.2007|16:03] C:\Programme\Star Defender 4
[22.10.2007|17:35] C:\Programme\Swarm
[06.11.2007|13:45] C:\Programme\Tanks Evolution
[02.10.2007|21:34] C:\Programme\TLKGAMES
[10.08.2009|11:19] C:\Programme\Top50 V4
[28.03.2008|10:45] C:\Programme\TrekStor
[03.09.2009|17:53] C:\Programme\Trend Micro
[01.08.2008|16:00] C:\Programme\TurboDemo 7.5 Testversion
[13.09.2007|18:41] C:\Programme\Uninstall Information
[10.08.2009|11:17] C:\Programme\Vstep
[14.11.2007|16:01] C:\Programme\WarlockStudio
[06.11.2007|13:45] C:\Programme\WHS ProStation
[13.09.2007|21:06] C:\Programme\Windows Media Connect 2
[13.09.2007|21:06] C:\Programme\Windows Media Player
[13.09.2007|20:22] C:\Programme\Windows NT
[13.09.2007|18:32] C:\Programme\WindowsUpdate
[13.09.2007|18:37] C:\Programme\xerox
[03.09.2008|11:15] C:\Programme\Yahoo!
[22.12.2007|01:54] C:\Programme\Zak McKracken 2
[29.02.2008|11:59] C:\Programme\Zero G Registry
[06.12.2007|14:42] C:\Programme\Zylom Games
[0|Datei(en)] C:\Programme\Bytes
[110|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[05.08.2009|14:15] C:\Programme\Gemeinsame Dateien\Adobe
[31.12.2008|18:56] C:\Programme\Gemeinsame Dateien\Agfa
[31.12.2007|15:34] C:\Programme\Gemeinsame Dateien\Ahead
[25.10.2007|13:46] C:\Programme\Gemeinsame Dateien\Apple
[14.11.2008|08:40] C:\Programme\Gemeinsame Dateien\AVSMedia
[06.10.2007|13:56] C:\Programme\Gemeinsame Dateien\Bcgsoft
[22.08.2008|20:26] C:\Programme\Gemeinsame Dateien\Designer
[13.09.2007|18:34] C:\Programme\Gemeinsame Dateien\Dienste
[11.11.2007|20:03] C:\Programme\Gemeinsame Dateien\DirectX
[22.12.2007|20:26] C:\Programme\Gemeinsame Dateien\InstallShield
[08.10.2007|18:42] C:\Programme\Gemeinsame Dateien\Java
[22.12.2007|20:27] C:\Programme\Gemeinsame Dateien\Logitech
[10.08.2009|11:16] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[13.09.2007|18:34] C:\Programme\Gemeinsame Dateien\MSSoap
[13.09.2007|19:19] C:\Programme\Gemeinsame Dateien\ODBC
[22.12.2007|01:55] C:\Programme\Gemeinsame Dateien\Real
[01.12.2007|18:17] C:\Programme\Gemeinsame Dateien\Sandlot Shared
[13.09.2007|19:19] C:\Programme\Gemeinsame Dateien\SpeechEngines
[22.08.2008|20:26] C:\Programme\Gemeinsame Dateien\System
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[21|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 41 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsbC.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsc6.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsc8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nscF.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nse10.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsfF.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsg5.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsi1B.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsi4.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsi8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsisdt.dll
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsj3.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsj4.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsk3.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsl3.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsl8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nslB.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsn4.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsn5.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsn8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsq11.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsu8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsw16.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsw22.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsw7.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsx7.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsx8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsz3.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsz33.tmp
C:\DOKUME~1\DEDERI~1\Cookies\+++++++@advertising[2].txt
C:\DOKUME~1\DEDERI~1\Cookies\+++++++@ero-advertising[2].txt
C:\DOKUME~1\DEDERI~1\Cookies\+++++++@partypoker[1].txt

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-05 19:57:06
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:3383][D:194]-> C:\DOKUME~1\++++++~1\LOKALE~1\Temp
[F:290][D:0]-> C:\DOKUME~1\+++++~1\Cookies
[F:1955][D:7]-> C:\DOKUME~1\++++~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 05.10.2009|19:58 - Option : [1]

--------------------\\ Scan beendet um 19:58:23

cosinus · 05.10.2009, 19:27

Code:

ATTFilter

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsbC.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsc6.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nsc8.tmp
C:\DOKUME~1\DEDERI~1\LOKALE~1\Temp\nscF.tmp

Hattest Du eigentlich garnicht den CCleaner verwendet? Oder sind da schon wieder neue Tempdateien drin?

Werte diese Dateien mal bei Virustotal aus und poste alle Ergebnisse.

Ein ausführliches Filelisting wäre auch nicht schlecht, Downloadlink von listing8.cmd

speicher das Script listing8.cmd auf dem Desktop ab
Doppelklick auf listing8.cmd
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

raketentoni · 05.10.2009, 22:23

die 4 dateien waren bei virustotal ohne ergebnisse.

hier der file:

http://www.file-upload.net/download-1928731/listing.txt.html

gehe jetzt nochmal mit dem cc drüber.

28.09.2009, 16:13	#48
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner nach mündlicher Ankündigung? Ob man Dir beim Bereinigen einen Gefallen mit tut bezweifel ich... Erstell trotzdem mal RSIT Logfiles und lad die bitte der Übersicht wegen bei file-upload.net hoch und verlink das Ganze dann hier. __________________ __________________

Trojaner nach mündlicher Ankündigung?

Plagegeister aller Art und deren Bekämpfung: Trojaner nach mündlicher Ankündigung?