Zitat:

ich hab eben auch noch mal ad-aware laufen laufen lassen.

Bitte nur die Programme laufen lassen, die wir hier anordnen, sonst funktioniert das nicht!

Zitat:

kann ich diesen order qoobox jetzt den einfahc löschen?

Das ist die Quarantäne von ComboFix, die wird zum Schluss gelöscht.

Zitat:

und dann wurde mir noch mehrere warnung unter C:system volumen information angezeigt.....

Das ist die Systemwiederherstellung und die reinigen wir auch zum Schluss.

Zitat:

soll ich jetzt auch noch mal mit kaspersky prüfen?

Ja und danach Prevx, so wie es in der Anleitung steht.

ciao, andreas

Edit: Danke, Sonja, für's Einspringen.

okay. bin dabei.

mal ne zwischenfrage. wie kann ich mir das eigentlich eingetretten haben?


hab immer antivir laufen. öffne keine komischen dateien usw... wie kann das passieren?

Zitat:

mal ne zwischenfrage. wie kann ich mir das eigentlich eingetretten haben?

In den Fällen, in denen ich erfolgreich nach der Quelle geforscht habe, war es immer ein Keygen. Es gibt aber mehrere Möglichkeiten. Denkbar ist auch die Infizierung über einen externen Datenträger, dafür gibt es bei dir aber keine Anzeichen.

ComboFix hat in deinem Fall etwas viel gelöscht. Du musst deinen WLAN-Treiber wieder neuinstallieren.

ciao, andreas

sollte das nicht antivir entdecken, auch von einem externen datenträger?

und wie kann ich mich in zukunft schützen?




sicher? den das WLAN funktioniert noch.

Zitat:

sicher? den das WLAN funktioniert noch.

Gut.

Ich hatte schon einen Fall, bei dem WLAN nach Löschen der Treiber nicht mehr funktioniert hat.

Zitat:

sollte das nicht antivir entdecken, auch von einem externen datenträger?

Ein Antivirenprogramm ist kein Schutz.

Zitat:

und wie kann ich mich in zukunft schützen?

Klicke auf die letzten beiden Links in meiner Signatur. Dort wird das ausführlich und leicht verständlich beantwortet.

ciao, andreas

so hier gehts weiter:


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 11. September 2009 22:47:12
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 11/09/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2527212
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 162795
Viren gefunden: 5
Infizierte Objekte gefunden: 19
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 03:45:40

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\desktop.ini Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Desktop.ini Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Desktop.ini Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.asx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.bmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.wma Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos\Desktop.ini Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\6b800f31-3522474e/vlocal.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.at übersprungen
C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\6b800f31-3522474e ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\BastianR\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Eigene Dateien\Bastians Ordner\Outlook pst datai\outlook.pst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Identities\{237B4D92-D00B-4BA0-ABEE-E507A1F7F31F}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay@reply3.ebay.com][Date 11 Feb 2005 15:36:25][Subj TKO Notice: Urgent Fraud Investigation]/html Infizierte Objekte: Trojan-Spy.HTML.Bayfraud.cg übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Identities\{237B4D92-D00B-4BA0-ABEE-E507A1F7F31F}\Microsoft\Outlook Express\Gelöschte Objekte.dbx MailMSOutlook5: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\etilqs_4W1AinUODatF1P74itNA Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\WCESLog.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DF4573.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DFE641.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DFE655.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009091120090912\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\BastianR\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\b5cd2357.sys.vir Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip/b5cd2357.sys Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip/b5cd2357.sys.1 Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip ZIP: infiziert - 2 übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACbtdbgommvt.dll.vir Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACljhnbcgewn.dll.vir Infizierte Objekte: Packed.Win32.TDSS.y übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/b5cd2357.sys.vir Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip/b5cd2357.sys Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip/b5cd2357.sys.1 Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/UACbtdbgommvt.dll.vir Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/UACljhnbcgewn.dll.vir Infizierte Objekte: Packed.Win32.TDSS.y übersprungen
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar RAR: infiziert - 6 übersprungen
C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\A0107395.dll Infizierte Objekte: Packed.Win32.TDSS.y übersprungen
C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\A0107396.dll Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen
C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_968.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

scan mit previx hat eine infektion erkannt - und zwar die cofi.exe auf meinem desktop

Prevx kannst du wieder deinstallieren. Mehr Sorgen machen mir die Funde von Kaspersky. Er hat zwei Funde im Papierkorb von Outlook gefunden. Lösche den Inhalt des Papierkorbes in Outlook.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FDelete::
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar

Folder::
C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

ComboFix 09-09-09.09 - BastianR 12.09.2009 1:01.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.495 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\BastianR\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\BastianR\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-709043156-1426058901-3643987052-1005
c:\windows\system32\.ini

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-11 bis 2009-09-11 ))))))))))))))))))))))))))))))
.

2009-09-10 19:00 . 2009-09-11 14:42 -------- d-----w- c:\programme\trend micro
2009-09-10 19:00 . 2009-09-10 19:01 -------- d-----w- C:\rsit
2009-09-09 08:59 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\windows\system32\XPSViewer
2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\MSBuild
2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\Reference Assemblies
2009-08-22 09:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-22 09:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-08-22 09:45 . 2009-08-22 09:45 -------- d-----w- C:\9efaa42bd10eea49b711a1f11dfc98
2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-22 09:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-22 09:44 . 2009-08-22 10:51 -------- d-----w- c:\windows\SxsCaPendDel
2009-08-14 20:12 . 2009-08-14 20:13 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Move Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 23:19 . 2005-02-08 03:22 -------- d---a-w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Skype
2009-09-11 13:36 . 2005-02-07 23:41 -------- d---a-w- c:\programme\Aukubik
2009-09-11 10:00 . 2008-03-16 16:20 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\skypePM
2009-09-07 14:22 . 2006-09-18 01:41 -------- d---a-w- c:\programme\HVB eFIN 3.0
2009-09-01 18:26 . 2005-03-09 05:34 -------- d---a-w- c:\programme\eMule
2009-08-30 15:31 . 2008-03-07 21:41 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\uTorrent
2009-08-28 23:36 . 2004-12-23 10:15 20920 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-22 09:55 . 1980-01-01 08:00 84722 ----a-w- c:\windows\system32\perfc007.dat
2009-08-22 09:55 . 1980-01-01 08:00 459396 ----a-w- c:\windows\system32\perfh007.dat
2009-08-13 09:33 . 2005-02-20 20:59 -------- d---a-w- c:\programme\Java
2009-08-09 18:53 . 2008-01-21 23:58 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Canon
2009-08-05 15:34 . 2009-05-14 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 1980-01-01 08:00 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2008-12-07 08:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-18 15:48 . 2009-07-18 15:48 -------- d-----w- c:\programme\7-Zip
2009-07-17 19:01 . 1980-01-01 08:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-12-23 10:09 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-06-29 15:55 . 1980-01-01 08:00 827392 ------w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-12-23 10:09 78336 ------w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 1980-01-01 08:00 17408 ------w- c:\windows\system32\corpol.dll
2009-06-16 14:36 . 1980-01-01 08:00 81920 ------w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 1980-01-01 08:00 119808 ------w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 1980-01-01 08:00 78848 ------w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 1980-01-01 08:00 82944 ------w- c:\windows\system32\tlntsess.exe
2005-03-05 02:48 . 2005-03-05 02:48 21 ------w- c:\programme\AVPersonalAVWIN.INI
.

((((((((((((((((((((((((((((( SnapShot@2009-09-10_20.28.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-11 23:18 . 2009-09-11 23:18 16384 c:\windows\temp\Perflib_Perfdata_30c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2005-10-28 45056]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]
"XSC SIP Client"="c:\programme\X-Lite\X-Lite.exe" [2004-06-01 3305472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-04-27 243248]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-09-02 127035]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2004-07-29 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2004-07-29 398848]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-03-18 98304]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"PRONoMgrWired"="c:\programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2003-08-06 86016]
"TPKBDLED"="c:\windows\system32\TpScrLk.exe" [2002-10-08 40960]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2006-08-21 1997568]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2004-07-29 110592]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-29 520024]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"S3TRAY2"="S3Tray2.exe" - c:\windows\system32\S3Tray2.exe [2001-10-12 69632]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2008-06-06 181536]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2003-11-13 94208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\IBM\Bluetooth Software\BTTray.exe [2004-1-20 507965]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-1-12 24576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16 24576 ------w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\Programme\\X-Lite\\X-Lite.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SFR\\1-2-Remote\\12RemoteServer.exe"=
"c:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONEUI.EXE"=
"c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 ANCSQ;ANCSQ;c:\windows\system32\drivers\ANCSQ.sys [02.08.2005 18:40 6912]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.05.2009 15:03 64160]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [14.05.2008 16:21 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 16:21 19496]
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [23.12.2004 12:37 16384]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.05.2009 16:33 108289]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [22.12.2005 00:14 12544]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1029456]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [02.08.2005 18:47 3968]
S2 CTNT4SCR;CTNT4SCR;c:\windows\system32\drivers\ctnt4scr.sys --> c:\windows\system32\drivers\ctnt4scr.sys [?]
S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [25.02.2003 01:36 802683]
S3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [13.11.2003 13:12 13904]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - WAM
*Deregistered* - WAM
.
Inhalt des "geplante Tasks" Ordners

2009-09-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:07]

2009-01-07 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2004-12-23 09:37]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\
FF - prefs.js: browser.search.selectedEngine - Google Deutschland
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-12 01:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(984)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll

- - - - - - - > 'explorer.exe'(516)
c:\programme\ScanSoft\OmniPageSE\ophook32.dll
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\ati2evxx.exe
c:\programme\IBM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-11 1:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-11 23:27
ComboFix2.txt 2009-09-10 20:37

Vor Suchlauf: 18 Verzeichnis(se), 22.641.467.392 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 22.649.937.920 Bytes frei

234 --- E O F --- 2009-09-10 10:21

So wird das nichts. Dieben wir doch bei den Kollegen vom HJT-Forum:

Zitat:

Ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden. Es ist wichtig, dass Du solange mitarbeitest, bis wir sagen, dass der Rechner "sauber" ist, auch wenn die Symptome eventuell nach den ersten Aktionen verschwunden sein sollten. Dazu gehört auch, keine weiteren Programme zu installieren oder Scans durchzuführen, ausser wenn es hier entsprechend angeordnet wird. Wenn Du dazu bereit bist, arbeite die folgenden Punkte in der angegebenen Reihenfolge ab. Drucke die Anleitungen zur Bereinigung Deines Systems am besten aus. Lese zunächst alles durch und wenn Dir etwas unklar ist, bitte fragen, bevor Du weitermachst.

Wenn Du mit dem Abarbeiten der einzelnen Punkte fertig bist, kontrolliere aufmerksam, ob Du keinen Punkt vergessen und alle angeforderten Logfiles in Code-Tags gepostet hast. Ergänze Deine jeweils letzten Beiträge solange über den "Ändern-Button", bis Dir jemand geantwortet hat. Wichtig: Bitte während unserer Reinigungphase nur Programme installieren, die wir anordnen. Bitte alle Aktionen, die wir anordnen nicht in einem eingeschränkten Userkonto ausführen, sondern vom Hauptuserkonto aus.

Da sind neue schädliche Einträge aufgetaucht. Es sieht fast so aus, als ob du den Rechner absichtlich infizieren würdest. Halte dich genau an obigen Text, ansonsten werde ich den Support einstellen.

Es geht hier erst weiter, wenn ich ein "Ja, ich werde mich an den Text halten" lese.

ciao, andreas

hallo,

versteh ich jetzt nicht.

ich hab haargenau das gemacht was du gesagt hast. punkt für punkt und habe dann das log hier gepostet.

ich hab nichts anderes gemacht. auch nichts anderes installiert oder sonstiges.


ich hab die punkte aus deinem posting von Gestern 23:41 genau so ausgeführt und auch nichts vergessen oder anders gemacht. ehrlich.

Das hier habe ich auf einem anderen Board (HJT-Forum) gefunden:

Die hier vorgestellten Programme benötigt Windows nicht unbedingt.
Bitte unter Start => Systemsteuerung => Software => Ändern/Entfernen... deinstallieren.

• BearShare
• Kazaa
• Azureus
• LimeWire
• Morpheus
• eMule
• Shareaza
• FrostWire
• BitTorrent
• uTorrent

Selbst wenn du ein sicheres P2P Programm verwendest, ist es nur das Programm, das sicher ist. Du wirst Daten von unsicheren Quellen teilen und diese sind häufig infiziert.

Also uTorrent und emule bitte sofort deinstallieren, ansonsten sind alle weiteren Schritte eher sinnlos.

1.) Wozu nutzt du das Programm Aukubik?

2.) Kontrolliere, ob eine Datei mit Namen atiimxgl existiert. Benutze die Windowssuche.

3.) Deinstalliere:

• Ad-Aware
• Adobe Reader 8.1.2 - Deutsch
• J2SE Runtime Environment 5.0 Update 1
• J2SE Runtime Environment 5.0 Update 10
• J2SE Runtime Environment 5.0 Update 2
• J2SE Runtime Environment 5.0 Update 4
• J2SE Runtime Environment 5.0 Update 6
• J2SE Runtime Environment 5.0 Update 9
• Java(TM) 6 Update 15
• Java(TM) 6 Update 2
• Java(TM) 6 Update 3
• Java(TM) 6 Update 7
• Java(TM) SE Runtime Environment 6 Update 1
• Skype™ 3.8
• VLC media player 0.9.4

4.) Installiere (Toolbars immer abwählen, Haken weg):

• Java-Downloads für alle Betriebssysteme - Sun Microsystems
• Adobe Reader oder besser FoxIt Reader
• Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe
• VLC media player - Overview oder besser KMPlayer

5.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
wam
Lbd
JavaQuickStarterService

Registry::
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EZEJMNAP"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"Ad-Watch"=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\Programme\eMule\emule.exe"=-
"C:\Programme\uTorrent\uTorrent.exe"=-

File::
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
c:\windows\system32\notifyf2.dll
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Folder::
c:\windows\SxsCaPendDel
C:\rsit
c:\dokumente und einstellungen\BastianR\Anwendungsdaten\uTorrent

DirLook::
C:\9efaa42bd10eea49b711a1f11dfc98
C:\Programme\HVB eFIN 3.0
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

P2P hab ich deinstalliert. nutz ich eh nie.


1. aukubik ist eine datenbank (für ebay) ist uhrallt und nutz ich schon 5 jahre. hat auch kein zugang oder sonstiges zum netz.

2. hab den arbeitsplatz nach der datei durchsucht unddie exe unter C:\Programme\ATI Technologies\Fire GL 3D Studio Max - gefunden

3. hab alles deinstaliert und den pc neu gestartet


4. habe ich jetzt nichts installiert, weil ichs auch im moment nicht brauche.

Dann schaue dir die Softwareliste in Ruhe an und deinstalliere alles, dass du nicht brauchst.

ciao, andreas

hab alles deinstaliert was aufgelistet wurde:

3.) Deinstalliere:

* Ad-Aware
* Adobe Reader 8.1.2 - Deutsch
* J2SE Runtime Environment 5.0 Update 1
* J2SE Runtime Environment 5.0 Update 10
* J2SE Runtime Environment 5.0 Update 2
* J2SE Runtime Environment 5.0 Update 4
* J2SE Runtime Environment 5.0 Update 6
* J2SE Runtime Environment 5.0 Update 9
* Java(TM) 6 Update 15
* Java(TM) 6 Update 2
* Java(TM) 6 Update 3
* Java(TM) 6 Update 7
* Java(TM) SE Runtime Environment 6 Update 1
* Skype™ 3.8
* VLC media player 0.9.4