Hi,

sag mal, wie kann ich das combofix deinstallieren? Ich glaiub ich stelle mich gerade etwas dappich an.

Prevx hört bei mir nach 64% auf zu scannen und meldet ein sauberes System. Sollte das nicht bis 100% durchlaufen?

Hi,

combofix deinstallieren über
Start, ins suchfeld combofix /unistall return eingeben...

Wie ist der Stand, was macht das Sicherheitscenter bzw. der Treiber dazu?

Prevx hört vorher auf... einfach so...
Hmmm.....

Deinstalliere Prevx wir schauen mal mit Dr. Web nach...

http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html

chris

So, da bin ich wieder.
Das ist stand der dinge:
Prevx findet nix mehr
Antivir auch nicht
Malwarebytes gibt eine Meldeung raus, die sich auch combofix bezieht.

Das Programm bekomme ich aber weiterhin nicht deinstalliert. :-( Anbei mal ein Hypersnap vom Pfad mit den Dateien.Es liegen Dateien von combofix und Erunt im gleichen Verzeichnis. Ist das richtig? Ich dachte das wäre unterschiedliche Programme :confused

Dann noch Logfiles von 1. MAM, 2. OTL

Wie ist deine Meinung zum System? Okay soweit?

Hier noch die Logs von RSIT

Hi,

C:\Windows\System32\drivers\pxkbf.sys -> http://www.prevx.com/filenames/X2397...PXKBF.SYS.html
Versuche die Datei mal bei Virustotal.com prüfen zu lassen...

Das gehört entweder zu Prevx oder ist ein Rookit...

Lass nochmal GMER laufen...

ERUNT und CF sind auch getrennte Programme, wie lautet denn die Fehlermeldung beim Versuch der deinstallation?

chris

Zitat:

Zitat von Chris4You

Hi,

C:\Windows\System32\drivers\pxkbf.sys -> PXKBF.SYS, Prevx

Die datei gibt es nicht mehr. Ich habe aber auch Prevx mitlerweile deinstalliert.

Wenn ich "combofix /unistall" eingebe, dann erscheit nur das Such-Fenster und die Datei wird nicht gefunden.
Das ist wie bei dem User in diesem Thread, Seite 4 h**p://www.trojaner-board.de/79817-security-tool-4.html

Anbei das log von gmer. Aber wie das letzte mal. ich kann auf der rechten seite nicht alles anhaken. Adminrechte habe ich. Siehe auch screenshot

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 20:56:44
Windows 6.0.6002 Service Pack 2
Running: prl8lwt9.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme1\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x34 0x65 0x5B 0x2E ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x11 0xFD 0xEE 0xB5 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x25 0x6D 0xAC 0x44 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB1 0xEA 0xFD 0x61 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB1 0xEA 0xFD 0x61 ...

---- EOF - GMER 1.0.15 ----

Hi,

Log ist okay.
CF versucht aber nicht zu starten, oder (insofern unterschiedlich zu dem Thread)...

Installiere Combofix noch mal neu und probiere dann ihn zu deinstallieren...
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

Hoffen wir mal, dass er wieder komplett durchläuft...

chris

So, CF kann ich doch nicht installieren, da ich ein 64 Bit system habe. Ich habe jetzt einfach mal das ominöse Versichnis gelöscht.

Dann habe ich noch DrWeb laufen lassen. Nachfolgend dazu das Log.

Was sagst Du dazu?
mirc616.exe\data001;A:\Sicherung alter PC\Programme\mirc616.exe;Program.mIRC.616;;
mirc616.exe;A:\Sicherung alter PC\Programme;Container enthält infizierte Objekte;;
$RC4E0IB.exe\32788R22FWJFW\List-C.bat;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000\$RC4E0IB.exe;Wahrscheinlich BATCH.Virus;;
$RC4E0IB.exe;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000;Archiv enthält infizierte Objekte;Verschoben.;
List-C.bat;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000\$RSW12MI;Wahrscheinlich BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\Desktop\Virusbekämpfung\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\bedlam\Desktop\Virusbekämpfung;Archiv enthält infizierte Objekte;Verschoben.;
$RC4E0IB.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine\$RC4E0IB.exe;Wahrscheinlich BATCH.Virus;;
$RC4E0IB.exe;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
$RC4E0I0.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine\$RC4E0I0.exe;Wahrscheinlich BATCH.Virus;;
$RC4E0I0.exe;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
ComboFi0.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine\ComboFi0.exe;Wahrscheinlich BATCH.Virus;;
ComboFi0.exe;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
4b8bed5d.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b8bed5d.qua;Trojan.Packed.650;;
4b8bed5d.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b90ed5b.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b90ed5b.qua;Wahrscheinlich Trojan.Packed.Based;;
4b90ed5b.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4ba0ed53.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ba0ed53.qua;Wahrscheinlich Trojan.Packed.Based;;
4ba0ed53.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;

Hi,

das sind alle bereits gefundene Sachen (Avira) oder Combofix selbst...
Lösche CF...

chris

Hi,

wird erledigt. Wir müssten dann ja fertig sein. Der Thread könnte dann also geschlossen werden, wenn du keiner anderen Meinung bist, oder wir noch etwas prüfen müssen.

Auf jeden Fall ein ganz dickes Dankeschön für die Hilf von dir