Fuehre bitte Avenger aus
Und haacke bei Avenger auch noch "Automatic disable any Rootkits found"an

oki, ich mach mit der Avenger Anleitung weiter und hake zusätzlich das "automatically disable any rootkits found" an.

(von SUPERAntiSpyware deaktiviere ich dann den Wächter, so wie es in der SUPERAntiSpyware drin stand.)

Tina

so, avenger ausgeführt und besagte Datei erfolgreich gelöscht.
siehe Log


Wie soll ich jetzt weitermachen ?


Soll ich nochmal SUPERAntiSpyware Scan laufen lassen, und schauen, ob er dieses Mal wieder die 5 infizierten Registry Keys findet ?

Tina

loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu

ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht



Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

... jetzt habe ich aber doch einen halben Herzinfarkt bekommen.

Den Antivir Guard hatte ich extra deaktivert, unten in der Taskleiste Schirm geschlossen. Das Antivir Center war aber natürlich noch auf dem Rechner.
Nach Start von Combofix warnt es, dass folgende Realtime Scanner noch aktiv seien:
antivirus: Avira Antivir Personal Edition Classic und zwar schrieb er das gleich 4 mal untereinander. Jetzt habe ich mittendrin in der Combofix Routine über Systemsteuerung => Software das Antivirus gelöscht.

Dann fragte Combofix zum Glück noch, ob ich ein Update möchte, ich klickte ja, dann kam ich wieder ganz zum Anfang an den Ablehnungshinweis von Combofix und konnte Combofix so zum Glück noch beenden.

Bitte Argus, wie kann ich denn nun garantiert feststellen, dass ich im Hintergrund keinen Antivirenscanner mehr laufen habe ??????
Unter Systemsteuerung => Software ist Antvir nicht mehr drin.
Unter CCleaner => Extras ist Antivir auch nicht mehr drin.

ICh will ja nicht, dass das nochmal passiert.


Tina <= mit Herzinfarkt

Wenn CF mit diese Meldung kommt,gib Enter

Sowas kommt bei mir auch,und ich benutze diesen scanner aber nicht mehr
AV: Immunet Protect *On-access scanning* (Updated) {F1220F1F-7E2E-48CD-846D-B98C6F85CD37}

na, du hast Nerven ... booaahhhh


oki, ich lass Combofix durchlaufen.


Tina

Hallo Argus,
Combofix erfolgreich durchgelaufen => siehe Log


Ich habe die Systemwiederherstellung deaktiviert, hoffentlich war das jetzt kein Fehler, da war ich etwas vorschnell :-(.


Was kann ich nun tun? oder ist das System wieder trojaner-frei ?


SUPERAntiSpyware hatte vorhin ja die 5 infizierten Registry Keys gefunden und wohl in Quarantäne genommen. Soll ich nochmal in das Programm, um die infizierten files zu removen ?? Oder hat sich das alles mit Combofix schon erledigt?


Tina

Gratuliere

CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK
Entferne auf C:\combofix.txt

Entferne HitmanPro via Software und auch SuperantiSpyware
Via Start>>Suchen weitere Daten von beide suchen und entfernen

Es gibt von SUPERAntiSpyware auch ein Onlinescanner

Installiere ein Virenscanner,!!

Und alles gute aus.......

Hallo Argus,

habe alles von Combofix, HitmanPro und SUPERAntiSpyware entfernt. Danach einen Neustart gemacht ...

1. ... und noch bevor ich Antivir 9 wieder installieren konnte, hat mich unten rechts in der Taskleiste ein rotes Symbol angemeckert (sieht von der Form her genauso aus wie das für die Windows Updates, ist nur in rot). Es hat gemeldet: "Der Computer ist eventuell gefährdet. Automatische Updates sind deaktiviert. Klicken Sie auf dieses Symbol, um das Problem zu beheben."
Im Taskmanager sind mir alg.exe und wscntfy.exe aufgefallen, die vorher nicht da waren.
Bisher hatte ich das noch nie, aber ich denke mal, dass es wohl wirklich von Windows ist ??

2. Die Systemwiederherstellung hatte sich leider auch vor meinem Neustart wieder aktiviert, obwohl ich sie doch deaktiviert hatte. Vielleicht durch das Uninstall von combofix. Ich denke, dass auch das okay ist.

3. Im explorer ist mir aufgefallen, dass in der Ordnerstruktur jetzt C:/Dokumente und Einstellungen/Tina Nachname/Anwendungsdaten fehlt. Hoffe, dass das okay ist ?

Wenn die drei obigen Punkte okay sind, ist mein Rechner dann wieder sicher?
Kann ich auch online banking wieder machen?

Ein zweiter Rechner war mit diesem infizierten Rechner über ein einfaches Netzwerk verbunden. Der 2. Rechner war aber seit ewigen Monaten nicht mehr an. Muss ich davon ausgehen, dass der auch infiziert ist?

Antvir 9 habe ich wieder installiert.
Soll ich es auf die aggressiven Einstellungen eingestellt lassen ?

Wie kann ich mich denn nun bei dir am besten bedanken ? Ich weiß nicht, wie das hier Usus ist ? Habt ihr eine Kontonummer, auf die gespendet werden kann ?


Tina

Anwendungsdaten ist eine verborgene Datei
Die Systemwiederherstellung muss aktiviert sein
wscntfy.exe ist das Security Center

Wenn du noch Zeit hast

Uninstall Liste mit hilfe von Hijack This

Starte Hijackthis, wähle "Open the Misc Tools section", öffne "Open Uninstall Manager", drücke dort "Save list...".
Sobald die Liste gespeichert wird, öffnet sich ein Fenster mit den entsprechenden Einträgen.
Bitte diese auch in den eigenen Thread kopieren.

Ich schicke dir jetzt ein PM

Trojaner-Board-Spendenkonto

Hallo Argus,

jepp, die Uninstall Liste mithilfe von HijackThis werde ich jetzt noch machen.

Bloss gut, dass also wscntfy.exe wirklich was von Windows ist! Denn mit irgendwelchen Warnfenstern unten rechts in der Taskleiste kannste mich langsam jagen ... denn so (mit netten Warnungen von Malware Defense) fing ja mal alles an.

Ich poste dann nachher noch die Liste.


Bis dann,
Tina

Hey Argus,

also im Anhang die Uninstall Liste von Hijackthis.


Soll ich noch was tun, oder ist mein Rechner gerettet ? Auch für Online-Banking wieder zu gebrauchen ?


Tina

Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u18 zum Desktop
Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u18-windows-i586-iftw-rv.exe

Enferne Adobe Reader 7.0 - Deutsch und installiere die letzte Version
oder noch besser installiere Foxit Reader

Besuch mal die Seite von Secunia ob es noch mehr Updates gibt

Wichtig ist das dein Rechner Up-to-Date is,nicht nur Windows,sondern alle Programme

Gute Nacht Freunde, es wird Zeit für mich zu gehn.
Was ich noch zu sagen hätte, dauert eine Zigarette
und ein letztes Glas im Stehn.

Danke dir tausendfach, Argus.

Die letzte Zigarette für heute rauch ich mit dir :-).

Alles, was du oben noch geschrieben hast, werde ich heute Nacht, oder morgen tagsüber noch erledigen.


Schlaf gut,
Tina