Hallo,

ich hoffe mir kann jemand helfen.
Ich hatte mir den Antimalware Doctor auf meinem Rechner eingefangen und ihn dank des Forums löschen können. Dennoch habe ich immernoch einige Tronjaner drauf die z.B. bei einem Klick auf ein Suchergebnis bei Google auf eine andere Seite umleiten. Ich habe nun das Problem, dass ich Malewarebytes Anti Maleware nicht updaten kann, da mein Rechner abstürzt und in einen Bluescreen wechselt. Der Avira blockt mir bei einem Neustart auch einige Dinge aber kann das wohl nicht löschen.

Bitte sagt mir welche Scans und Logs ich posten soll, damit mir jemand helfen kann. Werde mal den Avira nochmal drüber laufen lassen, damit ich dieses Log schonmal zum posten habe.

Vielen Dank im Voraus.

Gruß Markus

Hi,

welche Sachen werden geblockt bzw. wo wird was gefunden?

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Wenn kein 64-Bit-System:

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo,

ich werde die zwei Programme gleich ausführen. Anbei schonmal die Dateien die geblockt wurden:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00013071.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00016524.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00005732.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00021730.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00014000.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00011569.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00023245.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00017444.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00030581.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00028627.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\00026680.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Unpacked.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Hoffe das ist nicht zu viel.

Gruß Markus

Hallo Chris,

kann grad die Logs nicht Posten.

Ich versuchs weiter.

Gruß

Habs als Datei hinterlegt

Habs als Datei hinterlegt

Hallo Chris,

anbei die Logs aus dem OTL.

Anhang 8782
Anhang 8783

Gruß Markus

Hallo Chris,

anbei das Log aus dem GMER:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2010-09-10 11:21:50
Windows 5.1.2600 Service Pack 3
Running: rjcsk645.exe; Driver: C:\DOKUME~1\T4841~1.BUE\LOKALE~1\Temp\fxtdrpod.sys


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A6A7EE8

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device \Driver\Tcpip \Device\Ip 89732E18

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Tcpip \Device\Tcp 89732E18

AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Tcpip \Device\Udp 89732E18

AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Tcpip \Device\RawIp 89732E18

AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] nxfeptzx <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Gruß Markus

Hi,

es kann sein, dass sich Symantec und Avira gegenseitig stören bzw. sich als Malware erkennen (Du hast eh sehr viele Scanner drauf, für einen entscheiden den Rest deinstallieren)...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\lsdelete.exe
C:\WINDOWS\System32\drivers\nxfeptzx.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [mediafix70700en02.exe] C:\Dokumente und Einstellungen\****\Anwendungsdaten\0967E479FECA512745B26471C0656508\mediafix70700en02.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Open Interfaces Platform.lnk = C:\Programme\Java\j2re1.4.2_08\javaws\javaws.exe ()
[2010.09.07 15:02:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\tvwuqsmdv
[2010.09.07 15:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\vicuqbymi
[2010.09.07 15:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\vicuqbymi
[2010.09.07 15:02:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\biluqrydg
[2010.09.07 15:02:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\dvquqamls
[2010.09.07 15:02:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\thyvphxra
[2010.09.10 11:03:05 | 000,778,752 | ---- | M] () -- C:\WINDOWS\System32\drivers\nxfeptzx.sys
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:51CCC8063513A2A9
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24C8262A

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
"AntiVirusOverride" = dword:0x00
"FirewallOverride" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring" = dword:0x00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

File name:
lsdelete.exe
Submission date:
2010-09-10 09:50:00 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%) VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.09.10.00 2010.09.10 -
AntiVir 8.2.4.50 2010.09.10 -
Antiy-AVL 2.0.3.7 2010.09.10 -
Authentium 5.2.0.5 2010.09.10 -
Avast 4.8.1351.0 2010.09.10 -
Avast5 5.0.594.0 2010.09.10 -
AVG 9.0.0.851 2010.09.09 -
BitDefender 7.2 2010.09.10 -
CAT-QuickHeal 11.00 2010.09.10 -
ClamAV 0.96.2.0-git 2010.09.10 -
Comodo 6029 2010.09.10 -
DrWeb 5.0.2.03300 2010.09.10 -
Emsisoft 5.0.0.37 2010.09.10 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7846 2010.09.10 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.10 -
Fortinet 4.1.143.0 2010.09.09 -
GData 21 2010.09.10 -
Ikarus T3.1.1.88.0 2010.09.10 -
Jiangmin 13.0.900 2010.09.10 -
K7AntiVirus 9.63.2488 2010.09.10 -
Kaspersky 7.0.0.125 2010.09.10 -
McAfee 5.400.0.1158 2010.09.10 -
McAfee-GW-Edition 2010.1B 2010.09.10 -
Microsoft 1.6103 2010.09.10 -
NOD32 5439 2010.09.10 -
Norman 6.06.06 2010.09.09 -
nProtect 2010-09-10.01 2010.09.10 -
Panda 10.0.2.7 2010.09.09 -
PCTools 7.0.3.5 2010.09.10 -
Prevx 3.0 2010.09.10 -
Rising 22.64.04.01 2010.09.10 -
Sophos 4.57.0 2010.09.10 -
Sunbelt 6857 2010.09.10 -
SUPERAntiSpyware 4.40.0.1006 2010.09.10 -
Symantec 20101.1.1.7 2010.09.10 -
TheHacker 6.7.0.0.012 2010.09.09 -
TrendMicro 9.120.0.1004 2010.09.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.10 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.10 -
VirusBuster 12.64.26.0 2010.09.09 -
Additional information
Show all
MD5 : ad6a4304803d8491437cec9fa1c5359f
SHA1 : 8f982784bb48a564720149e2f9614c0720739640
SHA256: 853516a247858c64dacc09df7af16dc02a78130f99ab295e985f8b0daa6ec1ef


Die Datei C:\WINDOWS\System32\drivers\nxfeptzx.sys lässt er mich nicht hochladen.

Gruß Markus

Hallo Chris,

anbei das Log aus dem OTL:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mediafix70700en02.exe deleted successfully.
C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Open Interfaces Platform.lnk moved successfully.
C:\Programme\Java\j2re1.4.2_08\javaws\javaws.exe moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\tvwuqsmdv folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\vicuqbymi folder moved successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\vicuqbymi folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\biluqrydg folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\dvquqamls folder moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\thyvphxra folder moved successfully.
File move failed. C:\WINDOWS\system32\drivers\nxfeptzx.sys scheduled to be moved on reboot.
ADS C:\WINDOWS:51CCC8063513A2A9 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24C8262A deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirewallOverride" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus\\"DisableMonitoring" |dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 12321977 bytes
->Java cache emptied: 12118833 bytes
->Flash cache emptied: 434 bytes

User: administrator.AMEX
->Temp folder emptied: 11316 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 83 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 41 bytes

User: ***j
->Temp folder emptied: 26661 bytes
->Temporary Internet Files folder emptied: 889066 bytes
->Flash cache emptied: 83 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 7309815 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 821674 bytes
->Flash cache emptied: 1299 bytes

User: ****
->Temp folder emptied: 29677927 bytes
->Temporary Internet Files folder emptied: 4690437 bytes
->Java cache emptied: 7000 bytes
->FireFox cache emptied: 43782038 bytes
->Flash cache emptied: 3305 bytes

User: T4841~1~BUE

User: ***T
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 95533740 bytes
->Java cache emptied: 66354137 bytes
->FireFox cache emptied: 58183593 bytes
->Flash cache emptied: 47074 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 5553031 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 96022986 bytes
RecycleBin emptied: 39936 bytes

Total Files Cleaned = 413,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09102010_115933

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\nxfeptzx.sys scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9PYYFC6W\verbraucher[1].txt not found!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Google Toolbar\GoogleToolbarWelcome.log moved successfully.
File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DF21F.tmp not found!
File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFE41.tmp not found!
File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFED1.tmp not found!
File\Folder C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DFFFEF.tmp not found!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X70GWJ1B\ads[5].htm moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEBFNSWB\ads[7].htm moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INNAQPE7\ads[9].htm moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INNAQPE7\index[2].html moved successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6176QYX1\90605-antimalware-doctor-erfolgreich-geloescht-aber-noch-weitere-probleme[1].html moved successfully.

Registry entries deleted on Reboot...

Gruß Markus

Hallo Chris,

Combofix ist durch.

Anbei das Protokoll:

Anhang 8784

Gruß Markus

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\rjcsk645.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Noch mal ein GMER-Log, ich traue dem Frieden (dem Rootkit) nicht...
Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Customscan mit OTL:

• Starte bitte die OTL.exe

• Vista/Win7-User mit Rechtsklick "als Administrator starten"

• Kopiere nun den Inhalt in die Textbox

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)

• Klicke nun bitte auf den Quick Scan Button

• Klick auf OK

• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

chris

Hallo Chris,

anbei die Protokolle:

Anhang 8835
Anhang 8836
Anhang 8837
Anhang 8838

ein Extra Protokoll kam nicht.


Bei GMER kam nach einiger Zeit ein Bluescreen mit der Info zur Datei fxtdrpod.sys. Scan war nicht Möglich.

Symantec hat mir noch das ausgeworfen:

Risiko,Action,Anzahl,Dateiname,Bedrohungstyp,Quelladresse,Computer,User,Status,Aktueller Ablageort,Primäre Aktion,Sekundäre Aktion,Protokolliert von,Aktionsbeschreibung,Date
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:33:20
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:33:01
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:39
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:20
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:32:01
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:42
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:23
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:31:03
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:30:44
Backdoor.Tidserv.I!inf,Teilweise,3,WudfPf.sys.vir,Datei,C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\,AMEX09,AMEX\****,Infiziert,C:\Qoobox\Quaranti ne\C\WINDOWS\system32\Drivers\,Von Sicherheitsrisiko säubern,Quarantäne,Auto-Protect-Prüfung,Isolierung war teilweise erfolgreich.,13.09.2010 09:30:25


Vielen Dank für Deine Mühe.

Hi,

da ist er etwas spät dran, das ist die Quanrantäne von CF die er gefunden hat und damit den inifzierten Treiber den CF dort "gesichert" hat...

Lösche die Datei "rjcsk645.exe" und leere den Papierkorb danach...

So, da sind noch einige Sache die mir nicht gefallen:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\tasks\{B5880A0F-6059-4958-93F9-70267CB412C5}_AMEX09_Thomas.job
C:\Dokumente und Einstellungen\****\Desktop\12082010324.jpg
C:\Dokumente und Einstellungen\****\Desktop\amexgt_14062010.zip
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Vergiss die **** nicht durch den richtigen Pfad zu ersetzen!
Falls die Sachen erkannt wurden, das unter OTL-Script abfahren...
Auf jeden Falls solltest Du die JOBS löschen...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2010.09.10 16:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{ABE642DC-A7BD-4A33-970C-71DD06761044}_AMEX09_Thomas.job
[2010.09.10 16:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{6950BF71-6940-43D1-AF70-D2BF132245EF}_AMEX09_Thomas.job
[2010.09.13 09:00:00 | 000,000,392 | -H-- | M] () -- C:\WINDOWS\tasks\{B5880A0F-6059-4958-93F9-70267CB412C5}_AMEX09_Thomas.job
[2010.08.12 13:42:08 | 000,979,641 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\12082010324.jpg
[2010.08.30 16:30:49 | 116,311,971 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\amexgt_14062010.zip

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

chris