Das liegt weiterhin brav unschädlich gemacht in der Quarantäne von Combofix.


Wie geht es deinem System? Auffälligkeiten? Probleme?

hmm manchmal geht der Ventilator stärker, aber sonst habe ich eigentlich nichts Auffälliges heute bemerkt.
Meinst du es ist alles weg oder freu ich mich wieder zu früh?

Ich denke die schädlichen Datein sind weg.


Kümmern wir uns um deine Software:

Deinstalliere alles bis auf Malwarebytes und HJT, welches wir verwand hatten bei der Bereinigung.
Deinstalliere noch:
Adobe Reader 9.1 - Deutsch
Java (TM) 6 Update 7

Installiere:
Java-Downloads für alle Betriebssysteme - Sun Microsystems
&
Adobe - Adobe Reader herunterladen - Alle Versionen

- Neues normales HijackThis Logfile -

Hier ist das Log von HJT:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:52, on 06.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fingerprint Sensor\AtService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\DWRCS.exe
C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ActivIdentity\ActivClient\accrdsub.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WinTV\WinTV7\WinTVTray.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [accrdsub] "C:\Programme\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programme\WinTV\WinTV7\WinTVTray.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\APSHook.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Programme\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Programme\Fingerprint Sensor\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 8618 bytes
         

Soll/kann ich Qoobox, Quarantänen von anderen Antivirenprogrammen und alle Ordner, die sie angelegt haben, auch löschen? Und bei Avira, kann ich die Sachen in der Quarantäne löschen? Sind die Objekte dann ganz weg oder ist nur die Liste gelöscht und die Viren bleiben?

Die Qoobox kannste löschen, das Zeug kannste aber ruhig in der Avira Quarantäne beibehalten, dort ist es nicht schädlich.
Das HJT-Log schaut Okeh aus.

Noch Probleme, oder Fragen?

Probleme im Moment keine, aber ein paar Fragen hab ich schon noch!
Ok, ich lass die Objekte in der Avira Quarantäne. Rein zum Verständnis, wenn ich Objekte aus einer Quarantäne lösche, sind die Objekte dann vom PC?
Kann ich den CCleaner behalten, der ist praktisch um die Cookies etc zu löschen. Oder ist das nicht so gut?
Wenn ich nichts Blödes tue mit dem Internet , kann kein Trojaner/Virus mehr rein?
Ich wollte mir Kaspersky Internet Security drauftun, da muss ich ja Avira löschen, werden die Quarantäne-Objekte dann automatisch mitgelöscht?
Da ist auch immer noch dieses komische Fenster beim Hochfahren des PCs. Kann ich das irgendwie loswerden?

Code: Alles auswählenAufklappen

ATTFilter

"C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK
         

Zitat:

Rein zum Verständnis, wenn ich Objekte aus einer Quarantäne lösche, sind die Objekte dann vom PC?

Ja.

Zitat:

Kann ich den CCleaner behalten, der ist praktisch um die Cookies etc zu löschen. Oder ist das nicht so gut?

Behalte ihn. Dieser ist sehr gut und wird oft empfohlen.

Zitat:

Wenn ich nichts Blödes tue mit dem Internet , kann kein Trojaner/Virus mehr rein?

dazu gebe ich dir nach dem ganzen Rest noch einen Link.

Zitat:

Ich wollte mir Kaspersky Internet Security drauftun, da muss ich ja Avira löschen, werden die Quarantäne-Objekte dann automatisch mitgelöscht?

Du hast bereits Avira als kostenlosen sehr guten Schutz. Aber wenn du etwas kostenpflichtiges drauftun willst dann wird die Quarantäne von Avira mitgelöscht mit samt dem Inhalt.

Start - Ausführen - combofix /u versuchen und alles bestätigen.

Danke für die Antworten!
Hm das mit dem Ausführen combofix\u funktioniert nicht. Da kommt ein Fenster mit "Combofix/u kann nicht gefunden werden. Klicken sie auf Start->Suchen um die Datei zu suchen." Der findet aber nichts.

hast du auch das Leerzeichen beachtet?

Habs nochmal versucht! Geht aber immer noch nicht.

start ausführen --> combofix /uninstall (kopieren) OK

Berichte bitte

Hi Daniel
das Ausführen ging immer noch nicht.""Combofix" konnte nicht gefunden werden!"
Ich hab noch nen Ordner unter C:\ entdeckt, der Combofix heisst, und "an den Computer angeschlossene Laufwerke und Hardware anzeigt". (Seltsam) Aber der ist nicht gemeint oder?
viele Grüße

Bitte lösche dir vorhandene Combofix.exe (ich glaube die heißt smss.exe) und lade dir CF erneut ohne umbennen runter. Speicher die Combofix.exe auf dem Desktop (wichtig).

Führe dann das comando erneut aus.

Also...erst habe ich smss.exe nicht gefunden. Ich hab damals alles auf dem Desktop gespeichert. Das hatte sich von smss.exe in Combofix.exe umbenannt selbstständig und dieses Combofix.exe hatte ich ja dann deinstalliert. Also hab ich es nochmal runtergeladen als Combofix.exe und hab das mit dem Ausführen gemacht. Juchu es hat geklappt. Ich hab dann den Computer neustarten lassen und es kam wieder dieses Fenster!!

Code: Alles auswählenAufklappen

ATTFilter

"C:\ComboFix\CF21150.cfxxe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. -> OK
         

Was soll ich denn jetzt tun????
Das Fenster kommt jedesmal beim Hochfahren und ich hab schon mehrmals das mit dem Ausführen probiert.
Hab ihr noch eine Idee?