Hallo zusammen,

mein erstes Post und ich komm gleich mit Problemen an

Ich hab mir heute das Programm Cyber Security eingefangen und hab dann etwas recherchiert und bin die Punkte 1 - 5 aus der Hilfe von Coverflow aus dem Helfer-Team zu dem Thread von Mino abgegangen.


Meine "Ergebnisse" dazu befinden sich im Anhang.

Das Resultat des Scans mit "Gmer" ist folgendes.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-24 15:44:32
Windows 5.1.2600 Service Pack 2
Running: bu3vq6i5.exe; Driver: C:\DOKUME~1\GOLDFE~1\LOKALE~1\Temp\uwdoafoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7C53B8E                                 ZwCreateKey
SSDT            F7C53B84                                 ZwCreateThread
SSDT            F7C53B93                                 ZwDeleteKey
SSDT            F7C53B9D                                 ZwDeleteValueKey
SSDT            F7C53BA2                                 ZwLoadKey
SSDT            F7C53B70                                 ZwOpenProcess
SSDT            F7C53B75                                 ZwOpenThread
SSDT            F7C53BAC                                 ZwReplaceKey
SSDT            F7C53BA7                                 ZwRestoreKey
SSDT            F7C53B98                                 ZwSetValueKey
SSDT            F7C53B7F                                 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Ich hoffe, dass ich soweit auch alles richtig gemacht habe und möchte um Hilfe bitten, da ich mich mit solchen Sachverhalten leider überhaupt nicht auskenne.

Lg
patrick

Hallo und Herzlich Willkommen!

Gute Vorarbeit, sieht schon ganz gut aus
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`

Code: Alles auswählenAufklappen

ATTFilter

Cyber Security
         

Falls nicht klappen sollte:
starte HijackThis -> wähle unter "Open the Misc Tools section" den Button "Open Uninstall Manager" -> Eintrag auswählen - "Cyber Security" -> "Delete this entry" -> Neustart durchführen

2.
- Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hallo Coverflow.

Vielen Dank für die schnelle Antwort. Ich habe die beiden von Dir angeratenen Punkte abgearbeitet.

Zu Pkt.1:
Cyber Security ließ sich über Systemsteuerung: Entfernen löschen. Hierbei bekam ich zudem die Nachricht, das Programm sei bereits deinstalliert (warum auch immer) und verbliebene Komponenten seien nun noch durch das Entfernen zu beseitigen. In der Übersicht der installierten Programme kann ich es nun nicht mehr ausmachen. Ebensowenig zeigt mir der CCleaner das Programm über die Extras an.

Zu Pkt.2:
Den Scan hab ich durchgeführt. Hier ist das Ergebnis

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Sunday, October 25, 2009
 Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Sunday, October 25, 2009 09:32:01
 Records in database: 3066784
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\

Scan statistics:
	Objects scanned: 71236
	Threats found: 1
	Infected objects found: 1
	Suspicious objects found: 0
	Scan duration: 02:24:54


File name / Threat / Threats count
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP60\A0007325.dll	Infected: Packed.Win32.Krap.ae	1

Selected area has been scanned.
         

grüße
patrick

hi

1.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Morgen :-)

Pkt. 1 +2 abgearbeitet. Hier ist das Resultat des ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-10-25.02 - Goldfeder 26.10.2009  5:03.1.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.766.421 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Goldfeder\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-26 bis 2009-10-26  ))))))))))))))))))))))))))))))
.

2009-10-26 03:06 . 2009-10-26 03:07	--------	d-----w-	c:\windows\system32\XPSViewer
2009-10-26 03:06 . 2009-10-26 03:06	--------	d-----w-	c:\programme\Reference Assemblies
2009-10-26 03:05 . 2008-07-06 12:06	89088	------w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-10-26 03:05 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-10-26 03:05 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-10-26 03:05 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-10-26 03:05 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-10-26 03:05 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-10-26 03:05 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-10-26 02:52 . 2009-10-26 02:52	--------	d-----w-	c:\programme\MSXML 6.0
2009-10-25 07:01 . 2009-10-01 09:29	195440	------w-	c:\windows\system32\MpSigStub.exe
2009-10-25 07:00 . 2009-10-25 07:00	--------	d-----w-	c:\programme\Windows Defender
2009-10-24 13:27 . 2009-10-24 13:27	--------	d-----w-	c:\programme\Trend Micro
2009-10-24 09:15 . 2009-10-24 09:15	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Malwarebytes
2009-10-24 09:15 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-24 09:15 . 2009-10-24 09:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-24 09:15 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-24 09:15 . 2009-10-24 09:15	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-10-24 08:52 . 2009-10-24 08:52	--------	d-----w-	c:\programme\CS
2009-10-19 09:49 . 2009-10-19 09:49	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Academic Software Zurich
2009-10-19 09:33 . 2009-10-19 09:33	--------	d-----w-	c:\programme\Citavi
2009-10-03 11:54 . 2009-10-03 11:54	--------	d-----w-	c:\temp\Office Project Professional 2007 (German)
2009-10-03 11:43 . 2009-10-03 11:43	--------	d-----w-	C:\Temp
2009-10-03 10:07 . 2009-10-03 10:07	--------	d-----w-	c:\programme\7-Zip
2009-09-27 20:07 . 2009-09-27 20:07	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Ashampoo
2009-09-27 20:07 . 2009-09-27 20:07	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Lokale Einstellungen\Anwendungsdaten\ashampoo
2009-09-27 20:07 . 2009-09-27 20:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-09-27 20:07 . 2009-09-27 20:07	--------	d-----w-	c:\programme\Ashampoo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-26 03:37 . 2009-09-09 07:52	83400	----a-w-	c:\dokumente und einstellungen\Goldfeder\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-26 03:18 . 1979-12-31 23:00	82188	----a-w-	c:\windows\system32\perfc007.dat
2009-10-26 03:18 . 1979-12-31 23:00	454066	----a-w-	c:\windows\system32\perfh007.dat
2009-09-24 14:06 . 2009-09-24 14:06	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\EPSON
2009-09-23 10:35 . 2009-09-23 10:35	--------	d-----w-	c:\programme\CCleaner
2009-09-22 09:39 . 2009-09-22 09:39	--------	d--h--w-	c:\programme\Zero G Registry
2009-09-18 19:55 . 2009-09-18 19:55	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-09-18 19:19 . 2009-09-18 19:19	--------	d-----w-	c:\programme\SopCast
2009-09-17 16:10 . 2009-09-17 16:10	--------	d-----w-	c:\programme\PDFDrucker
2009-09-17 14:02 . 2009-09-17 14:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2009-09-17 13:57 . 2009-09-17 13:57	--------	d-----w-	c:\programme\epson
2009-09-15 08:19 . 2009-09-15 08:19	--------	d-----w-	c:\programme\Unity
2009-09-14 11:50 . 2009-09-14 11:50	0	----a-w-	c:\windows\nsreg.dat
2009-09-13 15:31 . 2009-09-13 15:31	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\CyberLink
2009-09-11 14:31 . 1979-12-31 23:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-11 00:29 . 2009-09-11 00:29	--------	d-----w-	c:\programme\MSXML 4.0
2009-09-10 09:29 . 2009-09-10 09:29	--------	d-----w-	c:\programme\Microsoft
2009-09-10 09:29 . 2009-09-10 09:29	--------	d-----w-	c:\programme\Windows Live SkyDrive
2009-09-10 09:29 . 2009-09-10 09:29	--------	d-----w-	c:\programme\Windows Live
2009-09-10 09:26 . 2009-09-10 09:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2009-09-09 14:20 . 2009-09-09 14:20	--------	d-----w-	c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\AdobeUM
2009-09-09 14:20 . 2009-09-09 14:20	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-09-09 11:22 . 2009-09-09 11:22	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-09 11:22 . 2009-09-09 11:22	--------	d-----w-	c:\programme\Java
2009-09-09 07:51 . 2009-09-09 07:51	--------	d-----w-	c:\programme\Avira
2009-09-09 07:51 . 2009-09-09 07:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-09 07:20 . 2009-09-09 07:20	--------	d-----w-	c:\programme\MSECache
2009-09-09 07:01 . 2009-09-09 07:01	--------	d-----w-	c:\programme\Microsoft Works
2009-09-09 07:01 . 2009-09-09 07:01	--------	d-----w-	c:\programme\MSBuild
2009-09-09 06:55 . 2009-09-09 06:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-09 06:46 . 2009-09-09 06:46	--------	d-----w-	c:\programme\Opera
2009-09-09 06:41 . 2009-09-09 06:41	--------	d-----w-	c:\programme\acer
2009-09-09 06:37 . 2009-09-09 06:37	--------	d-----w-	c:\programme\CyberLink
2009-09-09 06:36 . 2009-09-09 06:36	--------	d-----w-	c:\programme\ATI Technologies
2009-09-09 06:30 . 2009-09-09 06:30	--------	d-----w-	c:\programme\CONEXANT
2009-08-06 18:24 . 2004-09-13 11:31	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 18:24 . 2004-09-13 11:31	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 18:24 . 2008-10-16 13:09	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 18:24 . 2004-09-13 11:31	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 18:24 . 2004-09-13 11:31	53472	----a-w-	c:\windows\system32\wuauclt.exe
2009-08-06 18:24 . 1979-12-31 23:00	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 18:23 . 2004-09-13 11:31	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 18:23 . 2009-09-10 13:26	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-06 18:23 . 2009-09-10 13:26	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 18:23 . 2004-09-13 11:31	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-05 10:05 . 1979-12-31 23:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 05:48 . 1979-12-31 23:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 05:48 . 1979-12-31 23:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-07-28 15:33 . 2009-09-09 07:51	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-02 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-03-29 61440]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-03-03 77824]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-09 149280]
"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304]
"PDFPrint"="c:\programme\PDFDrucker\PDFPrintBackend.exe" [2005-07-03 71080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-02-23 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Goldfeder\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.09.2009 08:51 108289]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01.01.1980 200192]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [08.04.2005 15:44 2343]
S1 mailKmd;mailKmd; [x]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*Deregistered* - mbr
.
Inhalt des "geplante Tasks" Ordners

2009-10-26 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://global.acer.com/
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Mozilla\Firefox\Profiles\dv7hqhi3.default\
FF - prefs.js: browser.search.defaulturl - hxxp://suche.gmx.net/search/web/?origin=searchplugin&su=
FF - prefs.js: browser.search.selectedEngine - GMX Suche mit Google
FF - prefs.js: keyword.URL - hxxp://suche.gmx.net/search/web/?origin=searchplugin&su=
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-26 05:09
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
Zeit der Fertigstellung: 2009-10-26  5:10
ComboFix-quarantined-files.txt  2009-10-26 04:10

Vor Suchlauf: 14 Verzeichnis(se), 19.229.179.904 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 19.351.240.704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

- - End Of File - - 4828DDF02916485606615BC566C058C5
         

hi

wie verhält sich den dein System?

Ist stabil soweit ohne das ich irgendwelche Einschränkungen verspüre.

Vorhin hat mir der Windows Defender einen Trojaner gemeldet, welchen ich dann über diese Software "gelöscht" habe. Danach hab ich nochmal mit Kaspersky überprüft, ob die Infizierung passe ist. Leider nicht. Sprich, noch immer wird dort 1 Infizierung festgestellt.

Vielleicht ne etwas anfängerhafte Frage:

Ich hab gerade im Malware nach dem Inhalt im Reiter Quarantäne nachgesehen. Dort sind sämtliche FakeTrojanerAlerts und die sonstigen Parts von Cyber Security aufgelistet.

Kann ich bzw. soll ich diese dort löschen?

mfg
patrick

hi

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- Funde kannst löschen dann das Malwarebytes deinstallieren
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Hallo.

zu 1: C:\ Qoobox kann ich nicht finden. Allerdings ist noch ein Ordner ComboFix existent. Soll ich diesen löschen?

Die restlichen Vorgänge habe ich ausgeführt.

zu 2: durchgeführt

zu 3: ich weiß nicht, welche temporären Dateien vonnöten sind und welche nicht.

Meinst Du die nach diesem Pfade: (C:/Windows/Temp)?

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

Ich hab jetzt auch mal den Pkt. 4 durchgeführt

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/27/2009 at 11:33 AM

Application Version : 4.29.1004

Core Rules Database Version : 4197
Trace Rules Database Version: 2107

Scan type       : Complete Scan
Total Scan Time : 01:19:32

Memory items scanned      : 498
Memory threats detected   : 0
Registry items scanned    : 5645
Registry threats detected : 0
File items scanned        : 15338
File threats detected     : 3

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@weborama[2].txt
	C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@doubleclick[1].txt
	C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@atdmt[1].txt
         

Zitat:

Zitat von jessyblue

zu 3: ich weiß nicht, welche temporären Dateien vonnöten sind und welche nicht.

Meinst Du die nach diesem Pfade: (C:/Windows/Temp)?

ja, Inhalt markieren und löschen

Zitat:

Zitat von jessyblue

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

meinst "cleanmgr"?

Zitat:

Zitat von Coverflow

meinst "cleanmgr"?

Wie bitte?
Ich hab die temporären Dateien nun gelöscht.

Soll ich das Gefundene aus SUPERAntiSpyware ebenfalls entfernen?

gruß

Zitat:

Zitat von jessyblue

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

na was meinst damit genau?

SUPERAntiSpyware - ja

Ich hatte aufgeschnappt, dass über eine Datenträgerbereinigung ebenfalls temporäre Dateien entfernt werden würden. Also über Systemprogramme --> Datenträgerbereinigung.

Daher fragte ich nach, da ich selbst nicht weiß, ob dies ebenfalls eine Methode gewesen wäre, diese Dateien zu löschen. Nun hab ichs ja manuell bewerkstelligt :-).

kannst Du ja ab und zu mal nutzen:
- Defragmentierung - Windows bietet dazu eine einfache Funktion in seiner Systemsteuerung - Alle Programme / Zubehör / Systemprogramme

Win2000 & Win XP - Eine Festplatte oder mehrere Festplatten mit Windows defragmentieren!

- Hast du sonst noch Probleme?

- Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

HijackThis/Trend Micro
hjtscanlist
CCleaner
         

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

- Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen):
alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
- Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben - dies ist notwendig, damit auf deine Festplatte zugegriffen werden kann
- nach jedem Scanvorgang starte dein system neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code: Alles auswählenAufklappen

ATTFilter

ESET Online Scanner
bitdefender
emsisoft
Symantec Security Check