Trojaner-Board - PC super langsam, gestern Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC super langsam, gestern Trojaner (https://www.trojaner-board.de/66745-pc-super-langsam-gestern-trojaner.html)

PC super langsam, gestern Trojaner

Hallo, ich hoffe jemand kann mir helfen!

Mein PC läuft seit einiger Zeit etwas lahm, bisher war das aber nicht übermäßig, so dass ich dachte, dass er einfach etwas überfordert ist.
Gestern zeigte mir G-Data einen Virusverdacht (leider kann ich mich nicht mehr erinnern, wo), hab die Datei löschen lassen. Hab dann kurz vor Feierabend (ist mein Bürorechner) noch einen Virenscan laufen lassen. Da hat er einen Virus gefunden, der nach Hochladen zu Virustotal als Trojaner erkannt wurde. Leider konnte ich nicht bis zum Ende des Scans bleiben und hab den Rechner danach runterfahren lassen. Hab mir eben einen Ast nach dem blöden Logfile gesucht und schließlich den Scan wiederholt. Diesmal war der aber sauber :confused: Inzwischen hab ich das Verzeichnis mit der Logdatei gefunden, allerdings werden die logs bei neuen Scans offenbar überschrieben, sodass mir nur das Log des sauberen Scans vorliegt. Hab deshalb jetzt mal ein HijackLog erstellt. Der PC läuft inzwischen übrigen zeitweise SEHR langsam. Eine Zeitlang geht's, dann braucht er plötzlich wieder Minuten, um einen Ordner zu öffnen oder ein Programm zu starten. Daher befürchte ich, dass sich da doch etwas eingenistet hat. Sorry, ist etwas lang geworden :rolleyes:

Kann jemand mal bitte über das Log schauen? Vielen Dank im Voraus!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:12, on 19.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA\AVKClient\AvkCl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://companyweb
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVK Client] "C:\Programme\G DATA\AVKClient\AVKCl.exe" /GUI
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook.lnk = C:\WINDOWS\Installer\{90E00407-6000-11D3-8CFE-0150048383C9}\outicon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - h**p://server2003/connectcomputer/nshelp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195743810930
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\Software\..\Telephony: DomainName = ***.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F738C03-AB98-470B-8ABA-89307D798171}: NameServer = 192.168.115.1,192.168.115.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F738C03-AB98-470B-8ABA-89307D798171}: NameServer = 192.168.115.1,192.168.115.254
O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AvkCl.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5791 bytes

Im Moment läuft er übrigens ganz normal. Warum auch immer. Vor kurzem, als ich versucht habe, einen Prozess zu beenden, war da ein Prozess namens dumrep.exe oder so? Hat das vielleicht was zu sagen?

Gruß,
Gerrit

Nachtrag:

Die Datei, die ich zu Virustotal geschickt hatte, ist nicht mehr auf dem Rechner. Wenn ich danach suche (ohne Endung), dann zeigt mir der Explorer, dass die Datei im Windows\Prefetch Ordner ist. Ist das für die Wiederherstellung?

Und langsam wird der PC zur Zeit vor allem, wenn ich den Windows Explorer öffne. Der braucht ewig. Hab im Taskmanager nachgeschaut und dort braucht der Prozess für den Wächter von Gdata fast 100 %. Wenn ich den Wächter ausschalte, geht die CPU auslastung zurück, es ändert sich aber nichts und der Prozess wird nicht beendet. Erst wenn ich ihn manuell beende, reagiert der PC wieder ganz normal in allen Bereichen. Ich bin verwirrt! Der Wächter ist jetzt erstmal aus.

Noch ein Nachtrag:

GData hat den Virus jetzt wieder gefunden:

Virus: Win32:Agent-ACXZ[Trj][EngineB]
Datei: 484163174c2e6a35.core.dll
Verzeichnis: C:\Windows\system32\.484163174c2e6a35

Die "befallene" Datei nimmt Virustotal nicht an (angeblich wird nichts übertragen) Aber eine der anderen Dateien in dem Verzeichnis gibt Virustotal wie folgt aus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 Win32/Heur
BitDefender 7.2 2008.12.19 Trojan.Generic.1239907
CAT-QuickHeal 10.00 2008.12.19 Trojan.Agent.awhb
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.19 Trojan.Win32.Agent.awhb
Fortinet 3.117.0.0 2008.12.19 -
GData 19 2008.12.19 Trojan.Generic.1239907
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.19 Trojan.Win32.Agent.awhb
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 Generic!Artemis
Microsoft 1.4205 2008.12.19 Trojan:Win32/Iceroe.gen!A
NOD32 3705 2008.12.19 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.19 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Malicious Software
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 Trojan.Crypt.ULPM.Gen
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.18 Trojan.Monder.Gen!Pac.2
weitere Informationen
File size: 40448 bytes
MD5...: ab8e1d46e7c1a03956ad3cbeffad1d53
SHA1..: 9513efd532da37d5e5061831d73180312654c85d
SHA256: a6d7b93717941c39de063f8da583d3b9d5c3eee44d0d744b4612c1bab21792e8
SHA512: 1797920037b02f3e43a1bfd7a1454ab5d7ff9262c96a3002aa081cfdcbb85783
01d1fb90c058fca4d89a6079a4791864878cd06fcdc1d9a00fda89e14adaf536

ssdeep: 384:LiTngSAW2MdjAtQeRsH3bZuWrjzwj3BUE+tbdcXwws/bOigHiTvKZzKce6w:
IgSVxFMQXbs0YVUbtBcXBnw

PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c000
timedatestamp.....: 0x19204fe (Sun Nov 01 22:32:30 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
UPX1 0x8000 0x3000 0x2600 7.92 676ea997bad8c3b3b10915c2b6630ef6
.rsrc 0xb000 0x1000 0x600 2.72 c3e604386b7cf3faa16a0d701bf458de
.protect 0xc000 0x7000 0x6a00 7.19 9586a032985ed22bf1604887c81abfef

( 2 imports )
> KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor

( 0 exports )

Hallo Gerrit07,

Alle Punkte nach der Reihe ausführen:

1.) Bitte folgende Einträge mit HijackThis fixen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

2.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen)

3.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier!

LG Crusader

Hallo Crusader und danke für die Antwort!

Hab den Eintrag gefixt, alle Dateien anzeigen lassen (war sowieso schon eingestellt) und den Scan durchlaufen lassen. Das ist das Ergebnis (PC wurde inwzischen neu gestartet):

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1575
Windows 5.1.2600 Service Pack 3

30.12.2008 10:38:47
mbam-log-2008-12-30 (10-38-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 85654
Laufzeit: 23 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.

Danke schonmal für Deine Mühe!
Gruß, Gerrit.

Hallo Gerrit07,

Nur eine Zwischenfrage, gibt es noch Probleme? Ansonsten hier weitermachen:

1.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner blbeta.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!

3.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Ansonsten kannst du mit CCleaner noch alles bereinigen lassen!

LG Crusader

G-Data findet immer noch was. Und der PC hakelt immer noch. *grmpf* Also weiter im Programm...

Hast du einen Link für Blacklight? (hab das nur gefunden bei CHIP aus Dez. 07)

Hier der Link: Blacklight

Guten Morgen ihr zwei.

Bitte soweit irgend möglich die Tools immer von der Herstellerseite dowloaden.. ;)

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Das gilt für "unsere" Tools wie für alle anderen Programme. Chip, Softtronic und Co. sind keinesfalls vertrauenswürdig!!!

Hallo Undoreal,

Danke ich werde es beim nächsten Mal beachten! :o

LG Crusader

Hallo undoreal.

Keine Sorge, hab's bei F-Secure selbst runtergeladen. Das Log sieht so aus:

Zitat:

12/30/08 11:43:09 [Info]: BlackLight Engine 2.2.1092 initialized
12/30/08 11:43:09 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/30/08 11:43:10 [Note]: 7019 4
12/30/08 11:43:10 [Note]: 7005 0
12/30/08 11:44:34 [Note]: 7006 0
12/30/08 11:44:34 [Note]: 7011 116
12/30/08 11:44:34 [Note]: 7035 0
12/30/08 11:44:34 [Note]: 7026 0
12/30/08 11:44:35 [Note]: 7026 0
12/30/08 11:44:35 [Note]: 7024 3
12/30/08 11:44:35 [Info]: Hidden process: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
12/30/08 11:44:39 [Note]: FSRAW library version 1.7.1024
12/30/08 11:48:05 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.AT.config
12/30/08 11:48:05 [Note]: 10002 3
12/30/08 11:48:05 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.core.dll
12/30/08 11:48:05 [Note]: 10002 3
12/30/08 11:48:05 [Info]: Hidden file: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
12/30/08 11:48:06 [Note]: 10002 3
12/30/08 11:48:06 [Info]: Hidden file: c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.ServerPlugin.config
12/30/08 11:48:06 [Note]: 10002 3
12/30/08 11:48:06 [Note]: 10002 2
12/30/08 11:48:06 [Note]: 10002 2
12/30/08 11:54:22 [Note]: 7007 0

Hab mit Blacklight jetzt aber nix cleanen lassen. Lade jetzt SuperAntispyware herunter und mache weiter.

Stop!

Bevor du weitermachst:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe

c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config

c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll

C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe

c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config
 
 

Folders to delete:

c:\WINDOWS\system32\.484163174c2e6a35

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

PS:

Zitat:

Hallo Undoreal,

Danke ich werde es beim nächsten Mal beachten!

LG Crusader

kein Problem.. :) immer gerne.

So, das avenger-Log sieht so aus:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "484163174c2e6a35" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e6a35.exe
Start Type: 2 (Automatic)

Rootkit scan completed.

Error: file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" not found!
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" not found!
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" not found!
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "c:\WINDOWS\system32\.484163174c2e6a35" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Was nun?

Lasse das Avenger Skript bitte nocheinmal laufen aber setzte das Häkchen bei "Automatically disable any rootkits found".

Und danach mache noch einen Blacklight scan. Eigentich sollte der Avenger bereits alles gelöscht haben aber ich möchte da sichergehen...

Das Avenger-Log sieht jetzt so aus:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe"
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe"
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: folder "c:\WINDOWS\system32\.484163174c2e6a35" not found!
Deletion of folder "c:\WINDOWS\system32\.484163174c2e6a35" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

G-Data (der Wächter springt bei jedem Neustart wieder an) findet den Trojaner jetzt im Avenger Ordner. (C:\Avenger\...)

Gut, scheint beim ersten Mal schon gefunzt zu haben...
Aber sicher ist sicher.. Darum mache jetzt bitte noch einen Scan mit Blacklight.

Zitat:

G-Data (der Wächter springt bei jedem Neustart wieder an) findet den Trojaner jetzt im Avenger Ordner. (C:\Avenger\...)

logisch, das ist das Backup. Kannst du löschen lassen wenn du willst...

So, hatte gerade Mittag. Blacklight-Log sieht so aus:

Zitat:

12/30/08 12:22:16 [Info]: BlackLight Engine 2.2.1092 initialized
12/30/08 12:22:16 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/30/08 12:22:16 [Note]: 7019 4
12/30/08 12:22:16 [Note]: 7005 0
12/30/08 12:22:21 [Note]: 7006 0
12/30/08 12:22:21 [Note]: 7011 192
12/30/08 12:22:21 [Note]: 7035 0
12/30/08 12:22:21 [Note]: 7026 0
12/30/08 12:22:22 [Note]: 7026 0
12/30/08 12:22:25 [Note]: FSRAW library version 1.7.1024
12/30/08 13:51:07 [Note]: 7007 0

Wie lasse ich das Backup (avenger) denn löschen?

Zitat:

Wie lasse ich das Backup (avenger) denn löschen?

Kannst du von G-Data löschen lassen oder unter C:\Avenger\Backups.

Das fsbl log sieht gut aus.

Dann machen wir weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ok, alles ge-ccleant. Das Combofix-Log liest sich wie folgt:

Zitat:

ComboFix 08-12-29.02 - IR 2008-12-30 14:28:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1015.628 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\+++\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\taskmgr.com
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-28 bis 2008-12-30 ))))))))))))))))))))))))))))))
.

2008-12-30 14:21 . 2008-12-30 14:21 <DIR> d-------- c:\programme\CCleaner
2008-12-30 11:33 . 2008-12-30 12:22 <DIR> d-------- c:\programme\Fsecure
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\Malwarebytes
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-30 10:13 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-30 10:13 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 08:59 . 2008-12-15 08:58 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-02 13:24 . 2008-12-02 13:24 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2008-11-27 12:03 . 2008-12-18 14:07 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2
2008-11-13 12:26 . 2008-11-13 12:26 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\klickTel
2008-11-13 08:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-13 08:34 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 08:34 --------- d-----w c:\programme\Access 97 Runtime
2008-12-18 13:11 --------- d-----w c:\dokumente und einstellungen\+++\Anwendungsdaten\Tobit
2008-12-18 13:05 --------- d-----w c:\programme\Microsoft ActiveSync
2008-12-15 08:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-15 07:58 --------- d-----w c:\programme\Java
2008-11-04 10:58 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-07-11 10:40 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071120080712\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-03-11 114688]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 98304]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"AVK Client"="c:\programme\G DATA\AVKClient\AVKCl.exe" [2008-05-20 775240]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\+++\Startmen\Programme\Autostart\
Outlook.lnk - c:\windows\Installer\{90E00407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-09-20 794624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\windows\system32\l3codecp.acm
"msacm.l3codec"= c:\windows\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\484163174c2e6a35]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\G DATA\\AVKClient\\AVKCl.exe"=

R2 AntiVirusKit Client;G DATA AntiVirus Client;"c:\programme\G DATA\AVKClient\AvkCl.exe" [2008-09-20 775240]
R2 AVKProxy;G DATA AntiVirus Proxy;"c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2008-09-20 718408]
R2 AVKWCtl;AntiVirus Wächter;"c:\programme\G DATA\AVKClient\AVKWCtl.exe" [2008-09-20 1127816]
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2008-09-20 41928]
R3 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys [2008-09-20 46536]
S2 484163174c2e6a35;Microsoft DDE+ server;c:\windows\system32\.484163174c2e6a35\484163174c2e6a35.exe []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2008-01-08 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2008-01-08 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2008-01-08 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2008-01-08 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2008-01-08 98568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {4F738C03-AB98-470B-8ABA-89307D798171} = 192.168.115.1,192.168.115.254

c:\windows\system32\msvcrt.dll - c:\windows\system32\mfc42.dll
c:\windows\system32\olepro32.dll
c:\windows\system32\msvcp60.dll
c:\windows\Downloaded Program Files\upload.ocx
O16 -: {DF6504AC-3EFE-4287-B259-FB299B069C95}
hxxps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
c:\windows\Downloaded Program Files\upload.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-30 14:29:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\dokume~1\+++\LOKALE~1\Temp\Perflib_Perfdata_228.dat 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-30 14:30:59
ComboFix-quarantined-files.txt 2008-12-30 13:30:37

Vor Suchlauf: 14 Verzeichnis(se), 30.494.392.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 30,503,178,240 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

152 --- E O F --- 2008-12-18 12:34:48

Und? Sieht alles gut aus? Bin am Freitag wieder im Büro und kann dann weitere Sachen vornehmen, falls notwendig. Wünsche dir schonmal einen guten Rutsch!

Gruß,
Gerrit.

Guten Morgen und frohes Neues Jahr!

Bin wieder da und kann weiteren Anweisungen folgen, falls Bedarf besteht! :-)

Gruß,
Gerrit.

Halli hallo; frohes Neues! :taenzer:

Gibt es noch Probleme am Rechner?

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Mahlzeit!

So, nachdem Panda gefühlte 100 Stunden gescannt hat :rolleyes:, ist hier nun das Ergebnis aus dem Scan:

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-01-05 11:29:50

PROTECTIONS: 2

MALWARE: 2

SUSPECTS: 1

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

G DATA Internet Security 2007                12.0.0                        No        Yes

G DATA Antiviruskit 2007                     12.0.0                        No        No

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\JRades\Cookies\ir@doubleclick[2].txt

03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\JRades\Desktop\ComboFix.exe

;===================================================================================================================================================================================

SUSPECTS

Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              

;===================================================================================================================================================================================

No        C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.exe.vir                                                                                                                                                                                                                                                                                                                                                                                                                                                                

;===================================================================================================================================================================================

VULNERABILITIES

Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Der G-Data Wächter (den ich peinlicherweise erst nach der Hälfte des Panda-Scans ausgeschaltet habe :o ) zeigte folgendes:

Code:

Virus: W32.Trojan3.OD [EngineA]

Datei: A0000147.com

Verzeichnis: C:\System Volume Information\_restore{OE589C19-DF8E-4E12-9ED9-EA18AB17E29D}\RP3

und

Code:

Virus: Win32.Agent-ACXZ [Trj][Engine B]

Datei: A0000156.dll

Verzeichnis: C\System Volume Information\_restore{OE589C19-DF8E-4E12-9ED9-EA18AB17E29D}RP3

Ich schätze bzw. hoffe, dass das die Wiederherstellungspunke sind.

Ansonsten läuft der PC zur Zeit einwandfrei!

Gruß,
Gerrit.

Das sieht alles sauber aus. Funde kannst du löschen lassen.

Muss ich den Panda-Scan dafür nochmal laufen lassen?!:eek: Dann komme ich heute nämlich überhaupt nicht mehr zum Arbeiten...

Bei G-Data müsste ich dann warten, bis er sie wieder gefunden hat, gell? Oder kann ich die im Explorer suchen und gezielt mit G-Data prüfen und dann löschen? Oder einfach im Explorer löschen?

Und verrätst du mir noch (wenn es dir nicht zuviel Mühe macht), warum wir die einzelnen Schritte vorgenommen haben? Rein interessehalber.

Danke im Voraus! Mein System ist jetzt aber nicht derart verseucht gewesen, dass ein Neuaufsetzen sich aufdrängt, oder? :eek:

Schonmal vielen vielen Dank für deine Mühe!!!:daumenhoc
Gruß,
Gerrit.

Diese hier löschen:

C:\Dokumente und Einstellungen\***\Cookies\ir@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
C:\Qoobox

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Starte den Rechner neu und aktiviere sie wieder.

Warum wieso weshalb kannst du dir selber anlesen.. ;) das dauert mir grade zu lange...

Neuaufsetzen ist immer die beste und einzige wirklich sichere Variante!

Könntest du das bitte editieren und meinen Namen rausnehmen?

Ansonsten, vielen Dank!!!

Gruß, GErrit

OK, ich Trottel hatte den namen selbst dringelassen. Kann ein mod oder Admin den mal rausnehmen? (im ersten Code des Posts #24) Danke!