Hi

Sorry das ich jetzt erst poste war unterwegs

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/21/2009 at 06:57 PM

Application Version : 4.29.1002

Core Rules Database Version : 4113
Trace Rules Database Version: 2053

Scan type       : Complete Scan
Total Scan Time : 00:41:51

Memory items scanned      : 438
Memory threats detected   : 0
Registry items scanned    : 6739
Registry threats detected : 0
File items scanned        : 25369
File threats detected     : 48

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@www.zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ads.net2day[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@a2.adserver01[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@de.sitestat[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@track.webtrekk[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ww251.smartadserver[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@content.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@www.etracker[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@adbrite[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ad.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@de.at.atwola[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@atdmt[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@www.mediafire[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@casalemedia[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ad.yn-ads[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@traffictrack[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@smartadserver[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@kabelbw.112.2o7[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@tto2.traffictrack[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@track.webtrekk[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@servedby.adxpower[3].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@bs.serving-sys[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@serving-sys[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@media6degrees[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@adtech[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@questionmarket[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@apmebf[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@content.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ads2.net2day[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@cdn5.specificclick[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@hitbox[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@advertising[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@de.sitestat[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ads.heias[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ehg-twi.hitbox[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@mediafire[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@ads.ad4game[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@specificclick[2].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@vodafonegroup.122.2o7[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@servedby.adxpower[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@zanox[1].txt
	C:\Dokumente und Einstellungen\knorke\Cookies\knorke@adviva[1].txt

Rootkit.Agent/Gen-UAC
	C:\WINDOWS\SYSTEM32\UACFUBRATQLTE.LOG
         

hier noch der link http://www.file-upload.net/download-.../gmer.rtf.html


thx
thx

hi

- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\drivers\UACwmyxyqmuhx.sys
c:\windows\system32\UACrgkvxewfli.dll
c:\windows\system32\UACfubratqlte.log
c:\windows\system32\UACqpxeybsbow.dll
c:\windows\system32\UACmhgrjohjko.dll
         

→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

Hi

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\drivers\UACwmyxyqmuhx.sys" not found!
Deletion of file "c:\windows\system32\drivers\UACwmyxyqmuhx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\UACrgkvxewfli.dll" not found!
Deletion of file "c:\windows\system32\UACrgkvxewfli.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\UACfubratqlte.log" not found!
Deletion of file "c:\windows\system32\UACfubratqlte.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\UACqpxeybsbow.dll" not found!
Deletion of file "c:\windows\system32\UACqpxeybsbow.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\UACmhgrjohjko.dll" not found!
Deletion of file "c:\windows\system32\UACmhgrjohjko.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

thx

hi

das ist schon mal erfreulich, dass der Avenger hat nicht (mehr) gefunden. Aber noch keine Entwarnung

1.
den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware, lass es nochmal laufen, lösche alles (bis auf "C:\System Volume Information"), was gefunden wird, Log posten

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

- Ordnerinhalt überall markieren und löschen

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

5.
Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]
- Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind

Hi

Alle punkte erledigt

Hier noch die Log

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2850
Windows 5.1.2600 Service Pack 3

23.09.2009 20:57:03
mbam-log-2009-09-23 (20-57-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 232726
Laufzeit: 1 hour(s), 23 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

thx

hi

1.
Ok, Malwarebytes' Anti-Malware kannst deinstallieren

2.
Vor dem nächsten Schritt, also bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest (Bilder, Musik, Mails - nur als Textdatei etc etc), empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

3.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!: Vor dem Speichern, benenne ComboFix.exe um in "cflauf.exe" - dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Hi

Alle Punkte soweit erledigt

hier der link zu combofix txt Datei

http://www.file-upload.net/download-1915971/ComboFix.txt.html

1000 mal Dank

gruss knorke

hi

Hast du sonst noch Probleme?

Hi

Ja eine Frage hab ich dann noch, muss ich bei den ordneroptionen wieder auf die alte einstellung zurück???
Pc läuft wieder Richtig gut

Wollte mich auch nochmal bedanken das du dir die zeit genommen hast
gruss

knorke

Zitat:

Zitat von knorke

Ja eine Frage hab ich dann noch, muss ich bei den ordneroptionen wieder auf die alte einstellung zurück???

ja, kannst Du schon machen
Freut mich zu hören (lesen), dass es gut geklappt hat
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

HijackThis/Trend Micro
hjtscanlist
CCleaner
         

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home -
  [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com
• 
  `Die sieben Todsünden beim Surfen` - von Tobias Weidemann/pcwelt.de
  

ich wünsche dir alles Gute
gruß
Coverflow