Nein das war die Log vom Ersten Durchlauf, habe nur die Editor Datei direkt nach dem Scan nicht posten können da keine Anwendung mehr funktionierte, diese Log war unter C: abgespeichert!

Hier die Auswertungen der 3 Dateien!

hier der Sreen der Auswertung:

Hi,

sieht gut aus, ein bisschen aufräumen:

Combofix entfernen:
Start->Ausführen, dann combofix /u reinschreiben und OK drücken...

Prevx ggf. runterlöschen (zum entfernen musse es gekauft werden, ist aber ein guter Scanner (mit einem leichten hang zu Fehlalarmen ))...

Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups, werden bei der Deinstallation von CF automatisch gelöscht)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


chris

Also denkst du es ist weg ?

Mir ist auch n bisschen aufgefallen, dass der PC wieder schneller hochfährt, jedoch schlägt TrojanRemover immer noch an? Redet der Scan Unsinn?

Danke jedoch für deine kompetente Hilfe und die schnellen Antworten!

LG Interception

Hi,

was meldet der TrojanRemover und wo? Es besteht leider immer die Möglichkeit, dass sich zwischen postender Logs und der Antwort schon wieder was neues eingeschlichen hat, was dann nicht in den Logs zu finden ist... (oder es werden z.B. Teile von comboFix als "Virus" erkannt...)

Die Datei einfach mal bei Virustotal.com prüfen lassen, um f/p ausschließen zu können...

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip
Ich kenne den TR leider nicht...

chris

Hi er meldet und C:\Windows\msa.exe jedoch gibt es diese nicht....

und unter C:\Users\Papa\AppData\...\b.exe

soll ich diese Dateien überprüfen lassen? Jedoch existieren sie ja nicht bzw. ich seh sie im verzeichnis nicht!

Hi,

wenn das stimmt (wir hatten die Teile bereits gelöscht), dann Tippe ich auf ein Rootkit. Gmer und Avira-Antirootkit laufen nicht, hmmm...

RootkitRevealer scannen lassen
* Lade bitte RootkitRevealer (http://www.microsoft.com/technet/sys...tRevealer.mspx)
runter und entpacke das Archiv in einen eigenen Ordner, z.B.
C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen
Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern, und hier im forum posten.

Dr. Web ist ebenfalls nicht schlecht bei Rootkits...
Dr. Web/Cureit
http://www.trojaner-board.de/59299-a...eb-cureit.html

Wenn die Teile gefunden werden, das hier abfackeln:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

 
Files to delete:
C:\Windows\msa.exe
C:\Users\Papa\AppData\...\b.exe  <-hier richtiger Pfad rein!
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Wenn wir so ebenfalls nicht weiterkommen, dann werden wir eine Boot-CD mit Scanner einsetzen (ein Rootkit läuft dann nicht und liegt "ungeschützt" auf der Platte )

chris

Hi, also ich hab das mit Avenger probiert er hat neu gestartet jedoch findet Trojan Remover immer noch die beiden Exen!

Im Anhan findest du einmal ein Screenshot der Meldung des Trojan Removers und den verlangten Log

Hi,

klassisches Mißverständnis. Die viecher sind tatsächlich schon gelöscht worden, TR findet in einem abgelegten Job noch einen Starteintrag dafür, d.h. wir müssen den Job killen der die nichtmehr vorhandene Malware versucht zu starten....

Bitte ein neues RSIT-Log bzw. prüfe die Jobs die unter:C:\Windows\tasks\
abgelegt sind, ich habe die hier im Verdacht:
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4096264718-462073991-1934355358-1003Core.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4096264718-462073991-1934355358-1003UA.job

chris