Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sehr großes Problem! (https://www.trojaner-board.de/69376-sehr-grosses-problem.html)

Jay-Jay 31.01.2009 18:03
Sehr großes Problem!
 
Seit heute morgen kann ich mein AntiVir, den Task-Manager und Trackmania Nations/United (schon neuinstalliert) mehr öffnen. Wenn ich Trackmania Öffne kommt der Runtime Error C++ R6002.
Naja ich Poste mal meinen HiJackThis Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:21, on 31.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Lexmark 2600 Series\lxdnmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\SearchIndexer.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\*****~1\LOKALE~1\Temp\winukbif.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Windows Live\Mail\wlmail.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
E:\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\WINMINE.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Opera\opera.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winswrdo.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winbrsy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} (SeeTooControl Class) - http://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=cc274de896faaa601&browserVersion=6.0
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NCClientNT (frmMain) - Unknown owner - C:\WINDOWS\NCClientNT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device -  - C:\WINDOWS\system32\lxdncoms.exe

--
End of file - 7496 bytes
Diese Linien kommen mir verdächtig vor...
C:\DOKUME~1\*****~1\LOKALE~1\Temp\winukbif.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winswrdo.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winbrsy.exe

Diese Dateien sind aber auf einem Benutzer der schon gelöscht ist,..

Naja bitte (versucht) mir zu helfen.

MfG Jay-Jay

john.doe 31.01.2009 18:17
Hallo und :hallo:

Da du die Dateien schon gefunden hast, stelle sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\DOKUME~1\*****~1\LOKALE~1\Temp\winukbif.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winswrdo.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winbrsy.exe
Mache am besten ein neues HJT-Log für dich und kopiere die Dateipfade direkt bei Virustotal hinein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf analysieren.

ciao, andreas

Jay-Jay 31.01.2009 18:39
Virustotal.com geht bei mir irgendwie nicht.
Deswegen habe ich viruschief.com genommen. Hier die Ergebnisse:
(Es sind die vorherigen Dateien verschwunden und andere aufgetaucht)
Filename: vgwmj.exe
Size (Bytes): 8704
MD5 Hash: 86ce9a0c8fce445e36941fa15a702527
Report link: http://www.viruschief.com/report.html?report_id=0f8e128a39379fbab671d2fd0cbfdae0d03f37d0
Antivir: Nothing found
ArcaVir: Nothing found
Avast: Nothing found
AVG: Nothing found
BitDefender: Generic.Malware.FYd.79E9D536
F-Prot: Nothing found
Norman: W32/Horst.gen33
Rising: Nothing found
VirusBlokAda32: Nothing found
VirusBuster: Nothing found



Filename: winqidibj.exe
Size (Bytes): 7680
MD5 Hash: 8618b9b09717a2284d455753e02b0732
Report link: http://www.viruschief.com/report.html?report_id=28182ed4f7a1ee8cab2e6ddeb2102d22d17d982b
[B]Antivir: Nothing found
ArcaVir: Nothing found
Avast: Nothing found
AVG: Nothing found
BitDefender: Generic.Malware.FYd.6344F22B
F-Prot: Nothing found
Norman: W32/Horst.gen33
Rising: Nothing found
VirusBlokAda32: Nothing found
VirusBuster: Nothing found



Filename: mjqp.exe
Size (Bytes): 19456
MD5 Hash: 550686e73e5d2a066f29c49c3d2fedbf
Report link: http://www.viruschief.com/report.html?report_id=a4f1b9b0dd07523e5dd09004ecd09aaf29962c8a
Antivir: Nothing found
ArcaVir: Nothing found
Avast: Nothing found
AVG: Nothing found
BitDefender: Nothing found
F-Prot: Nothing found
Norman: Nothing found
Rising: Nothing found
VirusBlokAda32: Nothing found
VirusBuster: Nothing found

Hier nochmal mein HiJackThis Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:03, on 31.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Lexmark 2600 Series\lxdnmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\MouseDrv.exe
C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\PS2USBKbdDrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\vgwmj.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\winqidibj.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\mjqp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} (SeeTooControl Class) - http://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=cc274de896faaa601&browserVersion=6.0
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NCClientNT (frmMain) - Unknown owner - C:\WINDOWS\NCClientNT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device -  - C:\WINDOWS\system32\lxdncoms.exe

--
End of file - 7447 bytes

john.doe 31.01.2009 18:43
GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Jay-Jay 31.01.2009 19:06
Hier der Log:
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-31 19:06:04
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F7C657EC                                                                                                ZwCreateThread
SSDT            F7C657D8                                                                                                ZwOpenProcess
SSDT            F7C657DD                                                                                                ZwOpenThread
SSDT            \??\E:\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)        ZwTerminateProcess [0xB26FEF20]
SSDT            F7C657E2                                                                                                ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?              C:\WINDOWS\system32\drivers\honjor.sys                                                                  Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SOFTWARE\Classes\CLSID\{93AFD873-23B8-7422-73E1-0B01E8E4FBEB}\InProcServer32                     
Reg            HKLM\SOFTWARE\Classes\CLSID\{93AFD873-23B8-7422-73E1-0B01E8E4FBEB}\InProcServer32@jakgaalljihgajpmapeb  0x6A 0x61 0x65 0x6B ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{93AFD873-23B8-7422-73E1-0B01E8E4FBEB}\InProcServer32@iakggajndjggippagl    0x6A 0x61 0x65 0x6B ...

---- EOF - GMER 1.0.14 ----

john.doe 31.01.2009 19:19
Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
Spybot (Schrott)
Acrobat Reader (veraltet)
2.) Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} (SeeTooControl Class) - http://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=cc27 4de896faaa601&browserVersion=6.0
O23 - Service: NCClientNT (frmMain) - Unknown owner - C:\WINDOWS\NCClientNT.exe (file missing)
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) SuperAntiSpyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

5.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

Jay-Jay 31.01.2009 20:46
Ich war fast fertig mit dem Scan doch dann hat irgendein Programm was relevant für Windows ist hat sich sich auf einmal geschlossen und meinen PC runterfahren lassen.
Naja 3 Viren konnte ich noch löschen. Ich mach jetzt noch einen schnell Durchlauf mit SUPERAntiSpyware und einen kompletten durchlauf mit AntiMaleware.
Ich konnte mir das anderen nicht runterladen da alle Downloads nach 50% abbrechen. Könnten sie mir das Programm dann über Email senden?
julian[dot]hilgenberg[at]yahoo[dot]de
Danke!

john.doe 31.01.2009 21:35
Die Datei ist zu groß zum Mailen.

Versuchs damit: www.file-upload.net

ciao, andreas

Jay-Jay 31.01.2009 22:44
Hier schonmal der Log von SUPERAntiSpyware Professional.
Die anderen beiden kommen morgen!
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/31/2009 at 10:38 PM

Application Version : 4.25.1012

Core Rules Database Version : 3738
Trace Rules Database Version: 1707

Scan type      : Quick Scan
Total Scan Time : 01:34:14

Memory items scanned      : 506
Memory threats detected  : 2
Registry items scanned    : 380
Registry threats detected : 0
File items scanned        : 47037
File threats detected    : 15

Trojan.Unknown Origin
        C:\DOKUME~1\*******~1\LOKALE~1\TEMP\WINJDEXFI.EXE
        C:\DOKUME~1\*******~1\LOKALE~1\TEMP\WINJDEXFI.EXE
        C:\DOKUME~1\*******~1\LOKALE~1\TEMP\ABNT.EXE
        C:\DOKUME~1\*******~1\LOKALE~1\TEMP\ABNT.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\ABNT.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\QEWAH.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\WINJDEXFI.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\WINNDNBKB.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\WINYIFIQY.EXE

Desktop Hijacker.AboutYourPrivacy
        C:\DOKUMENTE UND EINSTELLUNGEN\*******\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\CAPT.GIF
        C:\DOKUMENTE UND EINSTELLUNGEN\*******\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\DOWN.GIF
        C:\DOKUMENTE UND EINSTELLUNGEN\********\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\CAPT.GIF
        C:\DOKUMENTE UND EINSTELLUNGEN\********\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\DOWN.GIF

Trojan.MailDrop/Gen
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\WEIOOB.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\WINTHGPGD.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\******* ********\LOKALE EINSTELLUNGEN\TEMP\YYKVHM.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
        C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\BLPHC7MCJ0E32V.SCR.VIR

john.doe 31.01.2009 23:02
Du hast ComboFix laufengelassen? Poste bitte das Log von ComboFix.

ciao, andreas

Jay-Jay 01.02.2009 10:38
Gestern hatte ich das nicht an,...
Aber ich habs mal durchlaufen lassen aber als es fertig war und Windows neu starten wollte habe ich einen Bluescreen bekommen mit einer Fehlermeldung von einer Datei names Fatslim.SYS.
Ich versuch es gleich nochmal.

Jay-Jay 01.02.2009 11:03
Hier das Log File von Combo Fix.
File-Upload.net - ComboFix.txt

john.doe 01.02.2009 11:31
Was sind deine Laufwerke E und J? Seit wann gibt es Probleme?

ciao, andreas

Jay-Jay 01.02.2009 11:38
Ne J is mein USB Stick,..
Und das Andere war ne Festplatte (hab 4 Festplatten^-^).
Ich hab das Problem seid gestern Morgen.
Hier nochmal mein HijackThis Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:05, on 01.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Lexmark 2600 Series\lxdnmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\MouseDrv.exe
C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\PS2USBKbdDrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Opera\opera.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\System32\svchost.exe
E:\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\40700 Multimedia Keyboard & Mouse  Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NCClientNT (frmMain) - Unknown owner - C:\WINDOWS\NCClientNT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device -  - C:\WINDOWS\system32\lxdncoms.exe

--
End of file - 5924 bytes

john.doe 01.02.2009 12:31
Wo ist das Log von MalwareBytes?

Von wo und warum hast du dir das runtergeladen?
Zitat:
2009-01-29 14:50 <DIR> d-------- c:\programme\PantsOff
Hast du noch weitere externe Datenträger die du irgendwann an den Rechner angeschlossen hast?

Was ist dein Laufwerk I:?

1.) Deinstalliere gmer, SuperAntiSpyware und Firefox.

2.) Reinige Dateien und Registry mit CCleaner.

3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

File::
c:\dokumente und einstellungen\Gast\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\DUMPb219.tmp
c:\windows\DUMPe86c.tmp
c:\windows\DUMPb239.tmp
c:\windows\DUMPa43e.tmp
c:\windows\DUMPe9d3.tmp
c:\windows\DUMP5e6b.tmp
c:\windows\DUMPa99d.tmp
c:\windows\DUMPe985.tmp
c:\windows\DUMP636d.tmp
c:\windows\DUMPde69.tmp
c:\windows\DUMPd9a6.tmp
c:\windows\DUMPd7e1.tmp
c:\windows\DUMPdb5c.tmp
c:\windows\DUMPa0d3.tmp
c:\windows\DUMPdf73.tmp
c:\windows\DUMPe04d.tmp
c:\windows\DUMP5ed9.tmp
c:\windows\DUMPe186.tmp
c:\windows\DUMPa97e.tmp
c:\windows\DUMP3b05.tmp
c:\windows\DUMP568c.tmp
c:\dokumente und einstellungen\Dagmar Hilgenberg\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\programme\GpotatoEu\Flyff\GameGuard\dump_wmimmc.sys
c:\windows\system32\drivers\honjor.sys

Folder::
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy

Dirlook::
c:\windows\system32\GroupPolicy
c:\dokumente und einstellungen\Dagmar Hilgenberg\Anwendungsdaten
c:\dokumente und einstellungen\Dagmar Hilgenberg\Anwendungsdaten\U3
c:\windows\Downloaded Installations
c:\dokumente und einstellungen\Gast\Anwendungsdaten\

Registry::
[-HKEY_LOCAL_MACHINE\software\Classes\CLSID\{93AFD873-23B8-7422-73E1-0B01E8E4FBEB}]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 0 (0x0)
"DisableRegistryTools"= 0 (0x0)
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Jay-Jay 01.02.2009 13:15
Ich habe mir das Programm hier runtergelader http://www.scendix.de/pantsoff/index.php4 weil ich meine ICQ Passwort vergessen habe.

Und habe alle Schritte so wie du sie aufgeschrieben hast ausgeführt.
Hier ist das Log File!
File-Upload.net - log.txt

Edit: Das Laufwerk I war auch noch der USB Stick. Nein ich habe keine weiteren angeschlossen.

john.doe 01.02.2009 14:39
Ich warte noch immer auf das Log von MalwareBytes. :koch:

Starte Opera => Menüzeile: Extras => Internetspuren löschen => Löschen

Hast du TeamViewer bewusst installiert?

Benutzt du das Gastkonto noch?

1.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
PCALERTDRIVER

Folder::
c:\windows\system32\GroupPolicy
c:\dokumente und einstellungen\Dagmar Hilgenberg\Anwendungsdaten\Mozilla
c:\dokumente und einstellungen\Dagmar Hilgenberg\Anwendungsdaten\SUPERAntiSpyware.com
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

2.) CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

3.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
4.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Jay-Jay 01.02.2009 19:22
Ich habe mir Windows Vista Home Premium gekauft und deswegen installier ich Windows eh neu ;).
Trotzdem danke für alles!

Ps.: Wenn ich neu aufsetze sind dann immernoch Rückstände von dem Virus vorhanden?

john.doe 01.02.2009 19:35
Lasse ComboFix ein letztes Mal laufen und stecke vorher alle externen Datenträger an. Nach Neuinstallation bist du dann sauber. Schalte die Autoplayfunktion von Vista ab und scanne anschliessend alle externen Datenträger mit mehreren aktuellen Virenscannern. Dann ist das Risiko gering.

ciao, andreas

Jay-Jay 01.02.2009 19:36
Okay mach ich ;) Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131