File-Upload.net - logs.rar

das sind mal die logs.
der CCleaner hat die fehler leider gelöscht, ohne vorher einen log anzuzeigen.

Edit:
das hier hat maleware rausgelassen.

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

13.01.2099 18:52:50
mbam-log-2099-01-13 (18-52-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 2
Laufzeit: 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\install\svhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

ich habs gelöscht, da genau das der virus war.
ich hoff er ist weg =(

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | svhost
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | HKLM

Files to delete:
F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe
C:\WINDOWS\system32\install\svhost.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.


Anschließend bitte Combofix ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

okay.
ich lass grade nochmal malewarebytes drüberlaufen, da ich das gefunden hab

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe

rundll32 ist doch eigentlich eine system datei, das die dlls verwaltet.
wenn sich der virus da reingefressen hat heists nix gutes oder?
wenns so weiter geht kauf ich mir echt bald neues motherboard und neue festplatte
du kannst, wenn du mal zeit hast, ja mal gerne mit team viewer bei mir reinschaun.
hab mir schon überlegt ob ich router reset mache, wird aber nix bringen, da steam auch net läuft, nachdem ich lan kabel gezogen hab.

so maleware ist fertig, das hat er ausgespuckt:

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

14.01.2099 15:37:11
mbam-log-2099-01-14 (15-37-11).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 126356
Laufzeit: 7 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0p8cd2x7-l52b-4nnw-07sl-wneo51gcj0pf} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002764.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002766.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002774.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002777.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003298.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003299.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP33\A0003940.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

danke im vorraus


Edit:
so ist fertig. sieht aber nicht rosig aus. maleware hat anscheinend alles deletet

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe"
Deletion of file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "C:\WINDOWS\system32\install\svhost.exe" not found!
Deletion of file "C:\WINDOWS\system32\install\svhost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^
weil das klingt irgendwie ziemlich unheimlich mit den ganzen warnungen auf garantie usw
ich führs aber aus wenns sein muss. ich wart erstmal auf antwort und schau dann mal weiter.
der pc ist nämlich noch keine 5 monate alt. >.<

Zitat:

sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^

Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren

Zitat:

Zitat von cosinus

Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren

das zerhackt aber net bios mit oder?
diese kack windows aktivierung geht schon wieder nicht.
werd bald auf linux umsteigen fände es sowieso mal interessant^^
beschäftige mich nämlich eigentlich viel mit pc, bios oder cmd.
also so kleine spielereien halt wie ip rausfinden usw.
naja ich mach das mal aber lieber erst später :P mein pc will noch paar stunden leben.
danke dir übrigens warst schon mal ne sehr große hilfe