Virus durch AVCare
 

Hallo!

Heute morgen hat sich bei mir einfach mal so klammheimlich AVCare installiert.
Hab das Programm sofort deinstalliert und fürchte aber dass das nicht ausgereicht hat. Mein PC spinnt einfach total rum. Firefox stürzt beim Öffnen ab, Beim Zugriff auf viele Dateien bekomme ich ne Fehlermeldung, dass die datei oder das verzeichnis beschädigt und nicht lesbar ist. und auch sonst bekomme ich diverse fehlermeldungen.

außerdem bin ich im taskmanager auf den prozess b.exe gestoßen, der mir verdächtig erscheint.

Checkdisk hab ich schon ausgeführt und Antivir auch aber trotzdem wird es nicht besser.

hab mir eben malwarebytes runtergeladen. das lässt sich zwar installieren aber wenn ich es starten will, passiert einfach nichts.

Hier mein Hijack This-LOG :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:09, on 18.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\DOKUME~1\NUTZER\LOKALE~1\Temp\b.exe
C:\WINDOWS\msb.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
H:\Programme\CyberLink\PowerDVD9\PowerDVD9\PDVD9Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {203CBB11-B270-5708-F2FA-05C7388D3774} - (no file)
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [RemoteControl9] H:\Programme\CyberLink\PowerDVD9\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] H:\Programme\CyberLink\PowerDVD9\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\NUTZER\LOKALE~1\Temp\b.exe
O4 - HKLM\..\Policies\Explorer\Run: [hLADOj15V8] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pencvuzq\rmzqtsxg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FB12061-1631-4257-B0A2-6D2F84A38DBF}: NameServer = 62.109.123.6,62.109.123.7
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c97c06138a10a) (gupdate1c97c06138a10a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

--
End of file - 11025 bytes

Das ist das selbe Problem wie ich es auch habe, bei mir ist av guard auch einfach so drauf gewesen heute und auch b.exe. Die Dateien konnte ich löschen, doch leider ist es damit nicht getan... Ich habe Probleme mit sämtlichen Browsern und naja, alles spinnt einfach... Ich hoffe das jemand uns helfen kann, scheint nämlich sehr schwerwiegend zu sein, da ich selbst im abgesicherten Modus nichts unternehmen kann...

Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion, die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit RSIT.

1.) http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Sichere deine Daten. Es kann (sehr selten) passieren, dass der Rechner danach nicht mehr läuft.

3.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

so, hab meinen halben herzinfarkt jetzt erstmal halbwegs verdaut...

das system komplett neu aufzusetzen kommt für mich erstmal nicht in frage.
würde dann mal anfangen mit RSIT aber wollte vorher nochmal fragen, ob du denn der meinung bist, dass combofix nach dem ausführen von RSIT auch funktioniert.

zurzeit tut sich nämlich beim klick auf die setup von combofix gar nichts...
das selbe problem hatte ich ja auch bei malwarebytes und spybot s & d

Ähm, da stehen extra Zahlen, du musst die Reihenfolge schon einhalten. Hast du ComboFix vor dem Downloaden auch umbenannt?

ciao, andreas

schon klar ^^

ich hab combofix nur vorhin schon mal ausprobiert und da ging halt gar nix aber ich glaub das lag nur dran, dass ichs nich umbenannt hab...

naja, egal hab jetzt rsit laufen lassen...
die beiden logs sind aber so lang, dass ich die hier nich posten kann.
irgndwelche ideen !?^^

ich lass dann schon mal combofix durchlaufen.

danke, dass du dir überhaupt die zeit nimmst;)

Du kannst sie entweder in den Anhang packen (< 100 KB) oder du lädst sie bei einem Filehoster hoch (z.B. www.materialordner.de) und postest hier den/die Links.
Gut, dann gebe dir bitte in Zukunft mehr Mühe die Anleitungen ganz genau zu befolgen. Du hast die Pest an Bord und wenn du einen Fehler machst, dann kann das das Ende bedeuten.

Kannst ja hier mal lesen, was auf dich zukommt, wir haben 5 Tage gebraucht => http://www.trojaner-board.de/75270-infiziert.html

ciao, andreas

okay, hab sie in den anhang gepackt...

so, combofix ist jetzt auch fertig - im anhang ist die log-datei...

Den ersten Schädling sehe ich heute um 10:34 Uhr. Kannst du dich noch daran erinnern, was du genau gemacht hast? Irgendetwas heruntergeladen und gestartet? Irgendetwas installiert?

ciao, andreas

hab im internet gesurft.

runtergeladen hab ich später n paar sachen und installiert überhaupt nichts.

Lass Cofi noch einmal laufen und poste wieder das Log.

ciao, andreas

okay, habs jetzt das zweite mal durchlaufen lassen.
hier das log.

Der ist hartnäckig. :schmoll: Ich auch. :)

1.) Deinstalliere:

• Ad-Aware
• Bonjour
• TuneUp Utilities
• Zonealarm

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

hab grad nochmal probiert und jetzt funktioniert immerhin schon mal mein firefox wieder...
so, und ich kann auch wieder ganz normal programme ausführen - deshalb wollt ich mal fragen, ob irgendwas dagegen spricht malwarebytes erstmal auszuführen !?

Bitte tue exakt das, was ich hier schreibe. Starte keine anderen Programme, lade nichts runter. Ansonsten stelle ich den Support ein.

ciao, andreas

okay, bin ja schon brav...

soo, also hier der report von avenger.

OK. Jetzt nochmal ComboFix. Das schlimmste hast du gleich hinter dir. Dann kommt auch Malwarebytes noch an die Reihe. :)

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

also dann - anbei das log von combifix und ich starte schon mal malwarebytes - juchhu, endlich ;)

tausend dank schonmal bis hierher ^^

Nein, noch nicht.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => Ok

5.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

6.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

hier der report von lop s&d
suche war übrigens option 1...

und hier noch der link zur Qoobox.rar :
http://rapidshare.com/files/268857865/Qoobox.rar.html

sry, hab vergessen den report anzuhängen...

Ja, du musst es aber mit 2 laufen lassen. Deine hosts-Datei muss neu geschrieben werden, die hat der Schädling geändert. Du brauchst dazu Adminrechte.

Kennst du den Ordner
Bitte nochmal mit 2 laufen lassen und Log posten.

ciao, andreas

okay, hier jetzt der neue report

den von dir erwähnten ordner kenn ich übrigens nich - is mir neu...

Sieht so aus, als hättest du Lop gehabt aber dein Antivirenprogramm hat schon zugeschlagen, aber wieder nur halbe Arbeit gemacht. Jetzt bist du die Reste auch noch los. Jetzt endlich dein geliebtes Malwarebytes. :)

Läuft es wieder?

ciao, andreas

alles klar - malwarebytes läuft grade...
dürfte ne ganze weile dauern.

also, ist das gröbste schon mal beseitigt !? :)
denkst du, dass man ihn nach dem durchlauf von malwarebytes wieder benutzen kann oder hast du noch ein paar schritte !?

ich will nich stressen - ich frag nur, weil der durchlauf wohl ne weile dauert und ich gern wissen möchte, wie der weitere plan ist ;)

Du hast dich zum Glück frühzeitig gemeldet. Normalerweise laden die Unmengen nach. Wenn die Leute hier nach einem Monat erst aufschlagen, dann ist es fast unmöglich alles zu finden. Nach Malwarebytes kommt Gmer, Rootrepeal, SuperAntiSpyware, Panda Active Scan, Kaspersky Online Scanner, PrevxCSI.

Dann wird noch deine Software auf den aktuellen Stand gebracht und dein HJT-Log aufgeräumt. Dann sind wir durch.

ciao, andreas

okay, dann ziehen wir mal durch !

...ähm, wenn malwarebytes endlich fertig is ^^

Ich weiß schon, warum ich dir den Link zum anderen Fall gegeben habe. Du siehst, das ist das gleiche Programm. Neuaufsetzen ist immer schneller bei diesen fiesen Rootkits. Du scheinst einiges an Software zu haben, die Scanner werden Ewigkeiten brauchen. :)

ciao, andreas

so, malwarebytes ist jetzt fertig - hat 7 infizierte dateien gefunden und gelöscht.
hier mal die log-datei die er am ende ausgespuckt hat.

1.) http://www.trojaner-board.de/74908-a...t-scanner.html

2.) Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

okay, gmer läuft.
ich lass dannach gleich noch RootRepeal laufen und poste dann das logfile.

Wenn du weiter so ein Tempo vorlegst, dann sind wir in zwei Tagen durch. :)

ciao, andreas

naja, hoffen wirs mal ^^

hm, also gmer hat sich jetzt mehrmals während des scannens aufgehangen. hab deshalb eben nochmal wirklich alles im taskmanager beendet was nich unbedingt notwendig war und auf einmal bricht er den scan nach ein paar minuten mit der medlung, ab : gmer has found system modification caused by rootkit activity

hier mal der log dazu

hm, hab grad nochmal gescannt - ohne, dass ich vorher den taskmanager durchforstet habe und jetzt kam nach ein paar minuten wieder dieselbe meldung...

find ich etwas seltsam - vorhin hat der ne stunde oder so gescannt und hat sich dann einfach aufgehangen und jetzt beendet er den scan so schnell...

naja, hier noch das neue log und ich mach jetzt mit RootRepeal weiter.

so, RootRepeal is jetzt auch durch und hat am ende noch ne fehlermeldung gebracht - root repeal error 1392 oder so ähnlich...

hier das log

ich geh mal kurz schlafen ;)

achso, hier noch der fehler-bericht von rootrepeal.
ich hoffe die ergebnisse von gmer und rootrepeal verheißen nichts allzu schlechtes *daumen drück*

:eek: Du hast da etwas ganz Neues. Die Uhrzeit deiner Infektion war ca. 12:30 Uhr und nicht 10:30 Uhr. Hast du irgendeinen Downloadlink für mich? Dann schicke ihn mir bitte als Private Nachricht.

Es ist sehr wichtig den Auslöser zu bekommen, damit die AVP-Hersteller den mit in ihre Signaturen aufnnehmen können. Dann werden nämlich weitere Infektionen verhindert.

Da war ein Eintrag bei ComboFix, der auf mehr hindeutete. Du hattest/hast gleich zwei dieser fiesen Rootkits.

1.) Neues Skript für Avenger (aka Hopsassa):
2.) Starte den Rechner neu.

3.) Lade dir ein neues ComboFix auf deinen Desktop, lasse es laufen und poste das Log.

ciao, andreas

ne, sorry - hab keinen link mehr.

okay, dann mach ich mal weiter...

okay, hier die log-files von avenger und combofix.

:confused: Poste bitte ein neues Gmer-Log. Führe auf keinen Fall einen Neustart durch. Hast du irgendwelche Programme in der Zwischenzeit benutzt?

ciao, andreas

wird gemacht!

hatte vorhin mal jdownloader laufen aber sonst nichts.

Nein, ich spreche von Antivirenprogrammen oder Removaltools. Der Rootkit, der sowohl im Gmer- als auch im Rootrepeal-Log zu sehen ist, ist verschwunden. Entweder du hast das Avengerskript zweimal ausgeführt, du hast irgendwelche Removaltools benutzt oder er mutiert (ändert den Namen mit jedem Neustart).

Allerdings scheint er weg zu sein, denn ComboFix ist zum ersten Mal ohne Fehlermeldung durchgelaufen.

Packe bitte den Ordner c:\avenger mit Zip oder Rar, lade ihn bei einem Filehoster hoch und schicke mir den Link als private Nachricht.

ciao, andreas

so, gmer bringt dieselbe meldung wie beim letzten mal:

gmer has found system modification caused by rootkit activity

das log is zu groß zum posten, habs deshalb bei rapidshare geuppt.
hier der link:

http://rapidshare.de/files/48155270/gmer.txt.html

hm, ich hab vorhin antivir und zone alarm frisch installiert aber die haben noch nichts angezeigt...

beim packen des avenger-ordners bekomm ich ne fehlermeldung von winrar :

! Konnte den Inhalt von C:\Avenger\CF3QHAXA\* nicht lesen
! Konnte den Inhalt von C:\Avenger\Cookies\* nicht lesen

ließ sich aber trotzdem packen, ich schick dir gleich den rapidshare-link...

Du sollst Zonealarm deinstallieren, das versaut alle Logs.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hier das log von combofix

Es wird schwächer. Gleich haben wir es.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

muss noch kurz warten bis ich das machen kann...

ich hab eben zone alarm deinstalliert und den recher ne gestartet um die deinstallation abzuschließen und beim hochfahren hat sich checkdisk gemeldet und läuft jetzt erstmal durch.

is doch ein fortschritt - vorher konnte checkdisk nämlich laufwerk c nicht überprüfen.

wenn er dann durch ist, mache ich mit dem combofix-script weiter.

Alles klar, bin jetzt auch unterwegs. Schaue gegen 21:30 Uhr wieder vorbei.

Nimm statt des alten Scriptes lieber das hier:
ciao, andreas

so, checkdisk hat jetzt gott sei dank erstmal aufgeräumt und ne ganze ecke verwaister daten gelöscht^^


hier das log von combofix

Hast du schonmal im Konsolenmodus gearbeitet?

Letzter Versuch, bevor wir entweder die Reparaturkonsole starten oder eine Live-CD brennen.

Lade dir Download Trojan Remover

Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden.

Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier.

ciao, andreas

hey, also ich hab noch nie im konsolenmodus gearbeitet.

hier der log von Trojan Remover.
könntest du mir eventuellen mal nen kurzen statusbericht geben wie es um meinen computer bestellt ist !?

Du hattest gleich zwei fiese Rootkits, der erste ist komplett erlegt, der zweite ist nicht mehr aktiv, die Dateien sind aber noch da und potentiell gefährlich. Die müssen noch weg.

Da alle Programme versagen, sehe ich noch zwei Möglichkeiten jetzt auf die Schnelle.

1.) Du brennst dir eine Live-CD. Bootest damit und verschiebst die Dateien
irgendwo anders hin, z.B. den Desktop und hängst an jeden Dateinamen ein .vir an.

2.) Reparaturkonsole
Lade dir den Anhang und speicher ihn direkt unter c:\wech.bat ab. Boote den Rechner neu. Nach der BIOS-Meldung die Pfeil hoch, Pfeil runter-Tasten abwechselnd bewegen bis ein Bootmenü kommt. Dort die Reparaturkonsole wählen und Enter drücken. Dann erscheint etwas wie

C:\_

Dort gibst du ein:
Sollte es Probleme mit dem Backslash \ geben, dann nimm die Taste links vom y.

Achte auf die Meldungen die kommen und notiere sie am besten.
Anschließend gibst du ein
Die zweite Möglichkeit sollte schneller gehen.

ciao, andreas

okay, ich würde die methode 2 lieber erstmal probieren...

bis gleich also ;)

hm, also du meinst die recovery console, richtig !?

wenn ich die auswähle, kommt der bildschirm mit dem blinkenden _
und irgendwie tut da weiter nichts - kann auch nichts eingeben oder ähnliches...

is das normal, dass das so lange dauert oder funktioniert es einfach nicht !?

Hast du eine USB- oder Funktastatur?

ciao, andreas

weder noch.

die tastatur wird defintiv erkannt - der computer macht ja immerhin geräusche, wenn ich ne taste gedrückt halte.

Nur es erscheinen keine Zeichen? Habe ich das richtig verstanden? Hast du die Windows-CD greifbar?

ciao, andreas

richtig.

schwarzer bildschirm und blinkendes _ links oben

ne, hab die windows-cd ist leider nicht hier.

Dann brenne dir eine Live-CD, die sollte für den Notfall sowieso jeder haben. Entweder Knoppix, dafür gibt es sogar ein Video oder Ubuntu.

Damit booten, Dateien verschieben und umbenennen, ComboFix vom Desktop löschen, ein neues ComboFix auf den Desktop laden und neues Log posten.

ciao, andreas

okay, ich glaube, ich werd dann knoppix benutzen.

das wird jetzt allerdings etwas eng. ich werde es dann morgen mit der live-cd probieren und berichten, wenn und ob es geklappt hat.

bis dann und dir noch nen schönen abend! ;)

Danke, dir auch.

ciao, andreas

hab grad mit der live-cd gebootet. das hat auch alles soweit funktioniert aber seltsamerweise hab ich keine einzige der von dir angegebenen dateien finden können...

im system32-ordner waren ein paar dateien die so ähnlich ausgesehen haben. allerdings haben die dateinamen nur bis kbiwkm übereingestimmt.
der rest hat dann nicht mehr gestimmt...
hab sie deshalb lieber nicht verschoben und umbenannt.

achso, und im drivers-ordner hatte noch nicht mal eine datei ähnlichkeit mit der von dir angegebenen.
habs auch per suche probiert aber nichts gefunden.

kann es eventuell sein, dass die dateien anders heißen !?

Das sind sie und das erklärt auch, warum weder Avenger noch ComboFix die löschen können. Alle die mit kbiw anfangen, verschieben und umbenennen.
Das ist schlecht, da muss eine sein. Ich bräuchte irgendein Listing um die zu finden, weiß aber nicht, wie die Laufwerke gemountet sind.
Ja, genau danach sieht es aus.

ciao, andreas

okay, ich verschiebe und benenne jetzt mal alles da am was mit kbiw anfängt...

soll ich dannach nochmal combofix laufen lassen und das log posten !?

Ja, meine zweite Hoffnung ist, dass der Programmierer von ComboFix schon reagiert hat und das Programm entsprechend angepasst hat. Wir kriegen den auf jeden Fall, nur eine Frage der Zeit. Nach ComboFix dann ein neues Gmer-Log.

ciao, andreas

hab die 4 dateien im system32 jetzt kopiert und umbenannt.
verschieben ging nich - die sind also auch noch im system32-ordner.

ist es normal, dass ich die dateien in windows jetzt auf dem desktop nicht sehe !?

und kannst du mir mal nen link zu nem neuen combofix geben oder kann ich den alten link von dir dazu benutzen !?

Wohin hast du sie denn kopiert?
Ja.

ciao, andreas

hab sie auf den desktop kopiert - wie du gesagt hast.

Das sind Rootkits, die sind nicht sichtbar, die kannst du nur mit speziellen Programmen oder einem zweiten Betriebssystem sichtbar machen, deshalb auch die Knoppix-CD. :)

ciao, andreas

ah, okay ^^

so, hier jetzt das logfile von combofix

Meine Hoffnung hat sich erfüllt, der Programmierer von ComboFix hat reagiert. :) Thank you sUBs. :daumenhoc

Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als PN.

Deinstalliere den Trojan Remover. Ich bastel dir gleich ein Script um dich von dem Gerümpel zu befreien.

ciao, andreas

wunderbar :)

soll ich den scan von gmer dann jetzt abbrechen !?
der wird nämlich noch ne ganze weile brauchen...

Nein, lass ihn laufen, ich muss wissen, ob noch etwas da ist.

ciao, andreas

okay, ich meld mich mit dem log, wenn er durch ist.

yeeha!^^

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

okay, gmer ist durchgelaufen.

hier das log.
ich schick dir auch den link von der qoobox.rar gleich.

combofix führe ich nachher aus - muss jetzt grad erstmal weg.
ich werd so gegen 23 uhr (denk ich) wieder online sein und das log von combofix posten.

so, hier jetzt log von combofix!

was sagt es denn !?

Viel, z.B. das du in der Zwischenzeit mit Kaspersky rumgewurschtelt hast. Das Archiv, dass du mir zugeschickt hast, hat gezeigt, dass jetzt auch das zweite Rootkit endgültig tot ist. Das fiese Zeug bist du schonmal los.

Die Dateien, die du mit Knoppix gesehen hast, waren die Überreste eines dritten Rootkits, der aber scheinbar niemals aktiv war. Dank sUBs bist du die jetzt auch los.

Da ist ein ziemliches Gewusel an gesperrten Registryeinträgen. Die sehen mir allerdings nicht gefährlich aus, werfen aber einige Fragen auf:

a.) Hast du irgendetwas von Premiere installiert oder installiert gehabt?

b.) Hast du irgendetwas von xGenArts\Sapphire AE installiert oder installiert gehabt?

Jetzt geht es ans Scannen, fangen wir an mit Kaspersky Online und Prevx.

1.) Start => Ausführen => combofix /u => OK

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

mit kaspersky hab ich doch gar nichts gemacht!?
habs weder runtergeladen noch installiert oder irgendwas...

zu deinen fragen - ich hab adobe premiere cs3 und sapphire ae von genarts installiert.

das scannen werd ich leider auf montag verschieben müssen. werd mich jetzt ins bett hauen und dann auch erst wieder montag an den rechner kommen.

also bis dann und schönes wochenende! :)

Da ist eine Datei fidbox.dat, die eigentlich zu Kaspersky gehört. Allerdings kann sie auch zu anderen Programmen gehören.
OK, dann werden wir da nichts dran ändern.
Danke, dir auch.

ciao, andreas

hey - da bin ich wieder ^^
hier das log vom kaspersky online scanner.

so, hab grad auch prevx durchlaufen lassen.

er hat mir was angezeigt, dass meine internet-konfiguration durch malware verändert worden sei (screenshot im anhang).
hab auf reparieren geklickt und das hat auch geklappt.

beim scannen hat er dann 2 funde gemeldet.
der screenshot dazu ist auch im anhang.

Deinstalliere:

• PrevxCSI
• Kaspersky Online Scan

Der Fund von Prevx sieht wie ein tatsächlicher Schädling aus. Lösche die Datei
Weiter mit:
Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Wie geht es dem Rechner? Gibt es noch irgendwelche Meldungen oder Auffälligkeiten?

ciao, andreas

okay, hab die datei gelöscht und klick mich jetzt durch die installation von PandaActiveScan2.0...

also der pc fühlt sich defintiv wieder gut an.
das einzige was mir auffällt, ist, dass der autostart-assistent beim anschließen meiner externen festplatte oder beim einlegen einer dvd, nicht mehr erscheint.
vielleicht hat das rootkit ja da irgndwas deaktiviert - kriegt man doch bestimmt wieder hin, oder !?

aber außer dieser kleinigkeit, sehe ich nichts auffälliges mehr :)

Das war ComboFix. Sei froh, damit bleibt dir eine erneute Infektion über externe Datenträger erspart. :)

Du kannst es wieder aktivieren, aber das ist nicht wirklich zu empfehlen. ;)

ciao, andreas

hab nochmal eine frage...
also panda active scan ist jetzt bei 11% und zeigt schon mal nen fund an.
soll ich dann versuchen das auch mit panda active scan nachdem der scan beendet ist, zu bereinigen oder richtest du das dann mit hilfe des logs !?

nur für den fall das der scan heut nacht irgendwann erst fertig ist, wenn du nicht mehr online bist...

Bleibt dir überlassen. Vor dem Löschen würde ich aber gerne das Log sehen. Nicht jeder Fund ist auch einer. Du verstehst, was ich meine? Klicke auf den 3. Link in meiner Signatur und vertraue niemals einem Antivirenprogramm. ;)

ciao, andreas

hey, hier das log von panda active scan!

guck mal drüber - ich werd da jetzt erstmal noch nichts löschen...

Die erste Datei unter Suspects ist hoffentlich nicht das, für das ich das halte. :(

Ich halte nicht eine davon für einen Schädling. Panda macht sich nur wichtig. :)

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas

ich denke nicht - war ne version von der berufsschule.

also , dem pc gehts jetzt wieder wirklich gut - kann keine probleme mehr feststellen. :)

1.) Deinstalliere (falls möglich):

• Panda Active Scan
• ICQ6
• Java(TM) 6 Update 3
• Skype™ 3.6
• TuneUp Utilities 2007
• ZoneAlarm

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Download der Java-Software von Sun Microsystems
• Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe
• ICQ Download - ICQ.com oder besser Download Pidgin, the universal chat client

3.) Poste neue RSIT-Logs.

ciao, andreas

Hallo liebes Forum und besonders hallo an joe.doe,

ich bin über google auf diesen Thread gekommen, da mein PC (WIN XP SP2) auch total rumgespackt hat:
- PC laggt regelmäßig alle 15 Minuten
- Firefox ist ein einziger Absturz
- mehrere Bluescreens durch IE

Anfangs dachte ich das hängt mit dem neuen Update von Firefox zusammen, da es zeitgleich auftrat, bzw. Bluescreen durch Mircrosoft ist ja mal nichts neues...
Das mit dem laggen hat mich dann doch stutzig gemacht und Antivir hat dann folgende Viren gefunden:
- Trojanisches Pferd TR/Alureon.19456U.3
- Versteckte Dateien im Windows/Temp und Windows/system32 Ordner, die alle mit "kbiwkm" .tmp anfangen (ca. 30 Stück), so bin ich auch auf diesen Thread gekommen. Diese Dateien findet zwar Antivir, aber ich nicht in Ordnern.

Programmprobleme oder Windowsprobleme habe ich nicht, bis auf das laggen wie gesagt. AVCare oder eine b.exe so wie Tagetieb, hab ich auch nicht. Ich hatte nur eine "xoivcvoren.exe" die ich aber entfernen konnte, keine Ahnung, ob die damit irgendwas zu tun hat. Hab das gegoogelt, nichts gefunden und dann runtergehaun.
Update: Gerade noch eine "rpnhmycp.exe" gefunden. Konnte Antivir auch nicht öffnen.

Neu aufsetzen wäre eigentlich kein Problem, ich schreib nur gerade Diplomarbeit an dem PC und suche nur eine Übergangslösung bis das vorbei ist. Die Zeit für die ganzen Programme und Daten rumschieben (gerade mit Festplatte formatieren) neuinstallieren, habe ich zur Zeit nicht.

Meine Frage:
- Habe ich das gleiche, wie Tagetieb und kann jetzt so wie er mal die ganzen Programme durchlaufen lassen, falls ich ihn nicht neu aufsetzen will?
- Wenn ich nur Windows neu installiere, ohne Formatierung, ist der dann weg?

- Und was zum Henker macht dieses Ding eigentlich?

Mit freundlichen Grüßen
Operator

Sorry for Spam. :pfui:

Ist wohl kein AVcare, sondern nur Trojaner TR/Alureon.19456U.3 . Habs mit Malware versucht und bins, glaube ich, auch losgeworden. :taenzer:

Operator

:applaus: Du unterschätzt nur leider das, dass du auf dem Rechner gehabt hast(?). Damit bist du allerdings nicht der Einzige. Es wäre schön, wenn du dich zumindest an die Regeln hältst und nicht in ein Thema postest, dass nicht dir gehört. :daumenhoc

Dieses Thema gehört Tagedieb. Auch wenn er es nicht für nötig hält, die letzten notwendigen Logs zu liefern, so ist es noch immer sein Thema. Falls du eine Bestätigung möchtest, dass dein Rechner sauber ist, die wirst du von mir nicht erhalten, dazu ist TDSS zu bösartig.

Erstelle einfach ein eigenes Thema, so, wir es hier jeder macht => http://www.trojaner-board.de/newthre...=newthread&f=8

ciao, andreas