einen wunderschönen guten abend leute!

ich wende mich jetzt hier an euch.. habe seit ca 2 tagen diesen "netten" plagegeist!

google hat mir da leider nicht weiter geholfen.

meldung von antivir: TR/Proxy.Sefbov.B.8

c:/windows/temp/mbskmlxaoj.exe

was ich bisher gemacht habe:
- antivir (weder quarantäne oder löschen geht)
- knoppixx PE mit kaspersky (konnte nicht entfernt werden)
- das windowstool zur bekämpfung von schädlingssoftware (angeblich gelöscht, aber immer noch da)
- und jetzt die prozedur von eurem forum (CCleaner und Malwarebytes Anti-Malware)

direkt auch mal einen fehler vom RSIT: beim registry dumping "line-1: error: subscript used with non-array variable." programm bricht dann von selbst ab.

also kann ich euch nur folgendes geben (logdatei von malwarebytes):

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2813
Windows 6.0.6001 Service Pack 1 (Safe Mode)

16.09.2009 23:14:50
mbam-log-2009-09-16 (23-14-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 355405
Laufzeit: 1 hour(s), 6 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\PC_AntiSpyware2010 (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AeLookupSvcALG (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmomxwqqvt (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\kbiwkmcbterilr.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\autochk.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\kbiwkmmmytxucd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\kbiwkmavutpvpa.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\kbiwkmnvsgymic.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\kbiwkmiwcjupbm.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\kbiwkmmcuhmber.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\***\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.


ich hoffe das klappt auch ohne diese RSIT logs... wenn nicht, wie kann ich die sonst erstellen?

vielen dank schonmal für eure mühe und hilfe.. sitze im abgesicherten modus momentan und ist doch schon arg nervig!

besten gruß


edit: was ich vergessen hatte... ich glaube ich bekomme durch den den absturz des internet explorers! aber damit meine ich nicht den browser. sondern ich mache nichts. weder maus bewegen noch was anderes. irgendein hintergrundprogramm oder dienst muss dann gestartet sein und den explorer zum absturz bringen. ich kann den neustarten, aber kommt sofort wieder. wenn es zur lösung des problems helfen sollte, kann ich den application crash auch posten...

Hallo und Herzlich Willkommen!

Zitat:

Zitat von chen san

wenn es zur lösung des problems helfen sollte, kann ich den application crash auch posten...

Systemcrash selbst erklärt:
- Nun hast du dir höchstwahrscheinlich ein sogenanntes Rogue-Anti-Spyware-Programm eingefangen. Rogue Software - `Fakeprogramm`: Rogue.MSAntiSpyware2009/Wikipedia
wenn man auf dubiosen Seiten surft bestehen Gefahren, dass sich `zufällig ausgerechnet in dem Moment` ein Schädling installiert. Die dann weitere Schadprogramme ( Rogue Software) aus dem Internet nachlädt. Diese Antiviren-Software erstellt eine Warnnachricht, die behauptet, dass "Ihr Computer infiziert ist (die eigentlich gar nicht existiert), danach zeigt es Popups mit gefälschten Bedrohungen usw. Eventuell das vorgetäuschte Antiviren-Programm fordert anschließend Geld für die Beseitigung usw
Aber gibt es genug Fake-Programm im Internet, "direkt" herunterzuladen auch...wenn man sich vorher nicht informiert und man glaubt an das Gute in der Welt...
heise.de/security/Zweifelhafte-Antiviren-Produkte
- mit Rootkit funktion

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Also lade Dir *Gmer* herunter <- Download & Anleitung
Achtung!:
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow