Google und einige andere Seiten funktionieren nach Trojaner-Befall nicht mehr
 

Hallo erstmal!

Ich bin neu hier und melde mich gleich mit einem Problem. Seit einigen Wochen habe ich massive Probleme mit meinem PC. Es begann alles mit einem Trojaner-Befall. Mit meinem Antivirenprogramm (damals hatte ich noch die Freeware Version von Avira Antivir, jetzt habe ich die Premium Version) habe ich über 20 Trojaner gefunden. :teufel1: Zu der Zeit bekam ich immer wieder die Meldung "buffer ovverrun detected". Außerdem kann ich bei Google nur die "auf gut Glück" Suchfunktion benutzen und ein paar andere Seiten, u.a. Amazon und Musicload lassen sich gar nicht mehr öffnen. Einige weitere Seiten lassen sich nur langsam öffnen, andere funktionieren normal.

Die meisten Trojaner konnte ich mit Antivir Premium entfernen, nur mehrere Meldungen zu "Virtumonde" kamen immer wieder. Nachdem ich alle möglichen freien Spyware-Programme vergeblich versucht hatte, habe ich als Verzeiflungstat einfach in meinen Datein nach "virtumonde" gesucht. Und die Suche ergab tatsächlich mehrere Treffer in Zip komprimierten Dateien. Und siehe da: Nachdem ich die Dateien gelöscht habe, findet Antivir keine Probleme mehr und auch die "buffer ovverrun" Meldung bleibt aus. Aber Google und Co tun es immer noch nicht wieder. :(

Hi,
ich habe genau das gleiche Problem.
Virtumonde google geht nicht, sowie Amazon und diverse andere Seiten.
Es ist nicht wegzubekommen. Ich verwende nun einen anderen Browser und dann geht es doch trotzdem würde ich gern diese Trojaner loswerden.
Bitte helft uns

Gruß

Björn

Einen anderen Browser habe ich auch schon probiert, aber mit Firefox habe ich die gleichen Probleme wie mit dem Internet Explorer. :confused:

Hallo Dena84,

wenn du ganz sicher sein willst, würde ich lieber das System neuaufsetzen.
Bei 20 Trojaner-Funden ist es möglich, dass auch Backdoors mitinstalliert wurde.
Links, wie das geht findest du hier genügend :)

Gruß
Dark Viruz

Nimm irgendwas unbekanntes. Ich habe den World Browser genommen.
Geh einfach mal auf CHIP Online - Test, Download, News, Video, Forum, Preisvergleich und lade dir dort einen alternativen Browser runter.
Gruß

Ich will jetzt niemanden unglücklich machen, aber einfach den Browser wechseln wird das Broblem nicht lösen.
Für den Anfang erstelle bitte ein HiJackThis Logfile.

@Boerdy: Mit dem World-Prowser klappt es tatsächlich, danke! :daumenhoc

@BataAlexander: Dass das keine Dauerlösung ist, ist mir auch klar. ;) Wie funktioniert denn das mit dem HiJackThis Logfile? :dummguck: Ich habe nicht viel Ahnung von PCs.

@DarkViruz: Ich habe keine Möglichkeit meine Dateien zu sichern, da ich weder einen CD Brenner noch eine externe Festplatte habe. Und über 200 Songs, weit über 1000 Bilder und etliche Word und PDF Dateien kriege ich nicht auf einen USB Stick. Deswegen kann ich nicht einfach Windows XP neu installieren.

Hallo Dena84,

hast du deine interne Festplatte partitioniert?
Wenn ja, musst du nicht unbedingt die mit den Songs etc. formatieren, sofern sich da keine .exe-Dateien befinden.
gruß


PS: Externe Festplatte kostet z.T. keine 50 Euro mehr :)

Ich fände es ja toll, wenn hier erst mal nicht erst der Kopf abgehauen wird um dann nach Beweisen zu fragen. :heulen:
Wenn Du auf das Wort HiJackThis klickst, kommst Du zu einer Anleitung.

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

zusätzlich:

Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Boerdy: Du hast unter anderem eine Sbot auf dem Rechner.
Der sauberste Weg wäre es den Rechner neu aufzusetzen. Bitte erstelle ein eingens Thema und poste dort das Combofix Log!

Hallo!
Wenn Sdbot eine Backdooreigenschaft hat, lieber neuaufsetzen
gruß

Kommando zurück, das war ja gar nicht Dena84 HJT sondern Boerdys.!

Dena84 postest Du bitte noch ein HiJackThis Logfile.

Hier ist mein Hijack File, ich hoffe ich habe alles richtig gemacht.

Logfile of Trend Micro Scan saved at 15:41, on 2008-06-06

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Dena84:

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Boerdy: Bitte ein eigenes Thema mit dem CF Log!

Ich habe den Scan jetzt noch msl durchgeführt und angeklickt, dass ein Logfile gespeichert werden soll.

Das kam dabei raus.


ComboFix 08-06-05.3 - Administrator 2008-06-06 15:56:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.677 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMe33c3f94.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\fnntvfrq.dll
C:\WINDOWS\system32\hqwxjfss.dll
C:\WINDOWS\system32\ieuheeww.dll
C:\WINDOWS\system32\ivvlyoxm.dll
C:\WINDOWS\system32\kcnjdhvy.dll
C:\WINDOWS\system32\kidujkab.dll
C:\WINDOWS\system32\LkmlkUtv.ini
C:\WINDOWS\system32\LkmlkUtv.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mvktuhih.dll
C:\WINDOWS\system32\qcjcibdr.dll
C:\WINDOWS\system32\qqrwaqbp.dll
C:\WINDOWS\system32\qthdkmjj.dll
C:\WINDOWS\system32\sypfnato.dll
C:\WINDOWS\system32\wiwamltm.dll
C:\WINDOWS\system32\wollsmqa.dll
C:\WINDOWS\system32\xdrdepqq.dll
C:\WINDOWS\system32\yrscepqj.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-06 14:07 . 2008-06-06 14:09 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-06 13:19 . 2008-06-06 13:19 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-03 23:04 . 2008-06-03 23:04 <DIR> d-------- C:\Programme\Enigma Software Group
2008-06-03 20:28 . 2008-06-03 20:28 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-06-03 20:28 . 2008-06-03 20:28 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-06-03 20:28 . 2008-06-03 20:28 0 --a------ C:\a8iesx.exe
2008-06-03 20:28 . 2008-06-03 20:28 0 --a------ C:\5z4kcw.exe
2008-06-03 20:07 . 2007-04-18 18:13 2,854,400 --a------ C:\WINDOWS\system32\SET23.tmp
2008-06-03 20:05 . 2006-05-05 11:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-06-03 20:05 . 2006-03-17 02:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-06-03 20:02 . 2008-06-06 14:18 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-06-03 19:22 . 2007-10-30 19:20 360,064 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-03 19:22 . 2006-10-12 16:02 57,344 --a--c--- C:\WINDOWS\system32\dllcache\SETCC.tmp
2008-06-03 19:21 . 2005-10-21 00:25 1,094,144 --a------ C:\WINDOWS\system32\SET9C.tmp
2008-06-03 18:03 . 2008-06-03 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
2008-06-03 10:13 . 2008-06-03 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-03 00:05 . 2008-06-03 09:43 2,806 ---hs---- C:\WINDOWS\system32\rnhfdnxl.ini
2008-06-02 00:55 . 2008-06-02 00:55 264,208 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\setup_de[1].exe
2008-06-02 00:19 . 2008-06-02 00:19 <DIR> d-------- C:\Programme\Avira
2008-06-02 00:19 . 2008-06-03 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-02 00:02 . 2008-06-03 00:02 2,446 ---hs---- C:\WINDOWS\system32\eywglctd.ini
2008-05-29 20:28 . 2008-06-01 23:59 886 ---hs---- C:\WINDOWS\system32\fawwflce.ini
2008-05-28 20:28 . 2008-05-29 20:28 586 ---hs---- C:\WINDOWS\system32\qadvfukb.ini
2008-05-27 19:04 . 2008-05-27 19:04 <DIR> d-------- C:\Programme\eScan
2008-05-27 01:18 . 2008-05-26 23:18 203 --a------ C:\bootini.uns
2008-05-26 23:55 . 2008-05-26 23:56 4,493,469 --a------ C:\WINDOWS\REGBK00.ZIP
2008-05-26 23:48 . 2008-05-27 01:26 1,035,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-26 23:48 . 2008-05-27 01:26 14,948 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-26 23:45 . 2008-05-27 01:18 0 --a------ C:\23990098.$$$
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-26 23:17 . 2008-05-27 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-05-26 22:57 . 2008-05-27 00:37 26 --a------ C:\WINDOWS\Lic.xxx
2008-05-26 15:49 . 2008-05-27 19:05 <DIR> d-------- C:\Programme\Google
2008-05-26 15:36 . 2008-05-28 19:23 3,226 ---hs---- C:\WINDOWS\system32\geuthipy.ini
2008-05-25 11:05 . 2008-05-26 15:30 2,086 ---hs---- C:\WINDOWS\system32\jeaylpki.ini
2008-05-22 23:24 . 2008-05-25 10:59 886 ---hs---- C:\WINDOWS\system32\duvtqvhu.ini
2008-05-21 23:23 . 2008-05-22 23:23 706 ---hs---- C:\WINDOWS\system32\dndnycfi.ini
2008-05-19 19:26 . 2008-05-21 22:17 3,954 ---hs---- C:\WINDOWS\system32\kqyfawya.ini
2008-05-19 19:23 . 2008-05-19 19:23 1,734 ---hs---- C:\WINDOWS\system32\epydrkop.ini
2008-05-18 17:56 . 2008-05-19 19:20 1,674 ---hs---- C:\WINDOWS\system32\spieeeyj.ini
2008-05-18 17:37 . 2008-05-18 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews
2008-05-18 17:27 . 2008-06-02 09:21 <DIR> d-------- C:\Programme\F-Secure Internet Security
2008-05-17 15:39 . 2008-05-18 17:15 <DIR> d-------- C:\Programme\Sophos
2008-05-17 13:26 . 2008-05-17 13:26 10,752 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-05-14 21:09 . 2008-05-15 23:15 1,614 ---hs---- C:\WINDOWS\system32\ygfoafjw.ini
2008-05-13 23:32 . 2008-05-13 23:32 <DIR> d--hs---- C:\AntiSpywareMaster
2008-05-13 22:27 . 2004-10-07 14:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-13 22:27 . 2004-10-07 14:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-13 22:27 . 2004-10-07 14:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-13 22:27 . 2004-10-07 14:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-13 22:27 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-13 00:51 . 2008-05-15 23:16 591 --a------ C:\WINDOWS\wininit.ini
2008-05-13 00:11 . 2008-05-13 00:16 586 ---hs---- C:\WINDOWS\system32\rofovuul.ini
2008-05-08 21:02 . 2008-05-13 00:06 414 ---hs---- C:\WINDOWS\system32\unrambgq.ini
2008-05-06 23:40 . 2008-05-07 00:10 <DIR> d-------- C:\Programme\World of Warcraft Trial
2008-05-06 21:26 . 2008-05-13 21:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-04 05:30 --------- d-----w C:\Programme\Yahoo!
2008-05-28 21:37 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-05-18 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-20 09:50 --------- d-----w C:\Programme\ICQ6
2008-04-07 14:30 --------- d-----w C:\Programme\DivX
2004-11-11 12:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{17375128-5580-4DA1-8C80-B6AC53CBF37D}]
C:\WINDOWS\system32\efcCRJAt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E1EEF17-8AFB-419C-95C5-5569832D2ABF}]
C:\WINDOWS\system32\nnnoNfGX.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35600204-3654-4C1D-B9EC-03478E622C28}]
C:\WINDOWS\system32\cbXNHWqp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A0680507-944D-4B11-9D3E-30C3A4C48147}]
C:\WINDOWS\system32\khfGxuvu.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5E7B85F-E474-462A-B36D-4EB1CDF264AD}]
C:\WINDOWS\system32\vtUklmkL.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
C:\WINDOWS\system32\iifgFYpm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 17:43 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 03:47 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 03:47 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 03:46 135168]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-03 10:05 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\system32\iifgFYpm.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgFYpm]
iifgFYpm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-06-03 10:05]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-06-03 10:05]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-06-03 10:05]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\4.tmp []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b0b8857-7f23-11dc-bd9f-001966294f1e}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{750b0c6c-7ce8-11dc-bd92-001966294f1e}]
\Shell\AutoRun\command - E:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 15:59:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\4.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Yahoo!\Messenger\Ymsgr_tray.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 16:03:16 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-06-06 14:03:13
ComboFix2.txt 2008-05-17 13:20:50

11 Verzeichnis(se), 71,389,351,936 Bytes frei
15 Verzeichnis(se), 71,674,081,280 Bytes frei

181 --- E O F --- 2008-06-05 19:12:43

Und hier ist noch mal ein Hijack File:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]


@DarkVirus: Nein, mein PC ist nicht partitioniert, ich habe keine Ahnung wie das geht.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif


6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser.
Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese mit Klick auf "Durchsuchen" auswählen und dann "Send" klicken. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Die Zip Datei habe ich auf dem Desktop, aber es steht nirgendwo "send". :confused:

In dem sich öffnenen Browser Fenster sollte das passieren.

Ich habe das ganze nochmal probiert, diesmal öffnet sich nicht mal das Browserfenster. :confused: Aber was auch immer ich da gemacht habe scheint was gebracht zu haben. Alle Seiten, die vorher gestreikt haben tuns wieder, auch wenn ich mit dem Internetexplorer ins Internet gehe. :Boogie:

Hier ist erst mal das Textfile. Ich versuche alle Links zu deaktivieren.

ComboFix 08-06-05.3 - Administrator 2008-06-07 15:53:13.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.706 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-06 14:07 . 2008-06-07 00:03 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-06 13:19 . 2008-06-06 13:19 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-03 23:04 . 2008-06-03 23:04 <DIR> d-------- C:\Programme\Enigma Software Group
2008-06-03 20:05 . 2006-05-05 11:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-06-03 20:05 . 2006-03-17 02:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-06-03 20:02 . 2008-06-07 00:04 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-06-03 19:22 . 2007-10-30 19:20 360,064 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-03 19:22 . 2006-10-12 16:02 57,344 --a--c--- C:\WINDOWS\system32\dllcache\SETCC.tmp
2008-06-03 18:03 . 2008-06-03 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
2008-06-03 10:13 . 2008-06-03 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-02 00:55 . 2008-06-02 00:55 264,208 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\setup_de[1].exe
2008-06-02 00:19 . 2008-06-02 00:19 <DIR> d-------- C:\Programme\Avira
2008-06-02 00:19 . 2008-06-03 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-27 19:04 . 2008-05-27 19:04 <DIR> d-------- C:\Programme\eScan
2008-05-27 01:18 . 2008-05-26 23:18 203 --a------ C:\bootini.uns
2008-05-26 23:55 . 2008-05-26 23:56 4,493,469 --a------ C:\WINDOWS\REGBK00.ZIP
2008-05-26 23:48 . 2008-05-27 01:26 1,035,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-26 23:48 . 2008-05-27 01:26 14,948 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-26 23:45 . 2008-05-27 01:18 0 --a------ C:\23990098.$$$
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-26 23:17 . 2008-05-27 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-05-26 22:57 . 2008-05-27 00:37 26 --a------ C:\WINDOWS\Lic.xxx
2008-05-26 15:49 . 2008-05-27 19:05 <DIR> d-------- C:\Programme\Google
2008-05-18 17:37 . 2008-05-18 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews
2008-05-18 17:27 . 2008-06-02 09:21 <DIR> d-------- C:\Programme\F-Secure Internet Security
2008-05-17 15:39 . 2008-05-18 17:15 <DIR> d-------- C:\Programme\Sophos
2008-05-17 13:26 . 2008-05-17 13:26 10,752 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-05-13 22:27 . 2004-10-07 14:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-13 22:27 . 2004-10-07 14:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-13 22:27 . 2004-10-07 14:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-13 22:27 . 2004-10-07 14:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-13 22:27 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-13 00:51 . 2008-05-15 23:16 591 --a------ C:\WINDOWS\wininit.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-04 05:30 --------- d-----w C:\Programme\Yahoo!
2008-05-28 21:37 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-05-18 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-13 19:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-05-06 22:10 --------- d-----w C:\Programme\World of Warcraft Trial
2008-04-20 09:50 --------- d-----w C:\Programme\ICQ6
2008-04-07 14:30 --------- d-----w C:\Programme\DivX
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2004-11-11 12:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\setup_de[1].exe -- Unable to find file version info.
MD5: df065dc324a7f418958b9bd435e7a16d

---- Directory of C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews ----

2008-06-01 23:58 1 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews\ispn.ini
2008-06-01 23:58 0 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews\ispnr.items
2008-06-01 23:58 0 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ispnews\ispnc.items


((((((((((((((((((((((((((((( snapshot_2008-06-06_21.43.23.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-09-10 01:52:32 2,068,480 ----a-w C:\WINDOWS\$hf_mig$\KB901017\SP2QFE\cdosys.dll
+ 2005-02-24 18:34:56 15,584 ----a-w C:\WINDOWS\$hf_mig$\KB901017\spmsg.dll
+ 2005-02-24 18:34:56 213,216 ----a-w C:\WINDOWS\$hf_mig$\KB901017\spuninst.exe
+ 2005-09-09 14:26:26 30,720 ----a-w C:\WINDOWS\$hf_mig$\KB901017\update\arpidfix.exe
+ 2005-02-24 18:34:56 22,240 ----a-w C:\WINDOWS\$hf_mig$\KB901017\update\spcustom.dll
+ 2005-02-24 18:34:56 727,776 ----a-w C:\WINDOWS\$hf_mig$\KB901017\update\update.exe
+ 2005-02-24 18:34:58 378,080 ----a-w C:\WINDOWS\$hf_mig$\KB901017\update\updspapi.dll
+ 2006-01-04 04:18:27 68,096 ----a-w C:\WINDOWS\$hf_mig$\KB911927\SP2QFE\webclnt.dll
+ 2005-10-12 23:11:08 15,584 ----a-w C:\WINDOWS\$hf_mig$\KB911927\spmsg.dll
+ 2005-10-12 23:11:08 217,312 ----a-w C:\WINDOWS\$hf_mig$\KB911927\spuninst.exe
+ 2005-10-12 23:11:04 22,752 ----a-w C:\WINDOWS\$hf_mig$\KB911927\update\spcustom.dll
+ 2005-10-12 23:11:11 725,728 ----a-w C:\WINDOWS\$hf_mig$\KB911927\update\update.exe
+ 2005-10-12 23:11:17 377,568 ----a-w C:\WINDOWS\$hf_mig$\KB911927\update\updspapi.dll
+ 2004-11-11 12:00:00 2,067,968 -c----w C:\WINDOWS\$NtUninstallKB901017$\cdosys.dll
+ 2005-02-24 18:34:56 213,216 -c----w C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe
+ 2005-02-24 18:34:58 378,080 -c----w C:\WINDOWS\$NtUninstallKB901017$\spuninst\updspapi.dll
+ 2005-10-12 23:11:08 217,312 -c----w C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe
+ 2005-10-12 23:11:17 377,568 -c----w C:\WINDOWS\$NtUninstallKB911927$\spuninst\updspapi.dll
+ 2004-11-11 12:00:00 67,584 -c----w C:\WINDOWS\$NtUninstallKB911927$\webclnt.dll
- 2008-06-06 19:39:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-07 13:54:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2004-11-11 12:00:00 2,067,968 ----a-w C:\WINDOWS\system32\cdosys.dll
+ 2005-09-10 01:54:27 2,067,968 ----a-w C:\WINDOWS\system32\cdosys.dll
- 2004-11-11 12:00:00 2,067,968 -c--a-w C:\WINDOWS\system32\dllcache\cdosys.dll
+ 2005-09-10 01:54:27 2,067,968 -c--a-w C:\WINDOWS\system32\dllcache\cdosys.dll
- 2004-11-11 12:00:00 67,584 -c--a-w C:\WINDOWS\system32\dllcache\webclnt.dll
+ 2006-01-04 03:35:01 68,096 -c--a-w C:\WINDOWS\system32\dllcache\webclnt.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 17:43 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 03:47 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 03:47 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 03:46 135168]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-03 10:05 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-06-03 10:05]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-06-03 10:05]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-06-03 10:05]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\4.tmp []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b0b8857-7f23-11dc-bd9f-001966294f1e}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{750b0c6c-7ce8-11dc-bd92-001966294f1e}]
\Shell\AutoRun\command - E:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-06-07 15:55:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\4.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Yahoo!\Messenger\Ymsgr_tray.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 15:59:04 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-07 13:59:01
ComboFix2.txt 2008-06-06 19:43:45
ComboFix3.txt 2008-06-06 14:03:16
ComboFix4.txt 2008-05-17 13:20:50

11 Verzeichnis(se), 71,665,074,176 Bytes frei
14 Verzeichnis(se), 71,680,053,248 Bytes frei

165 --- E O F --- 2008-06-05 19:12:43

Vergessen wir das Browserfenster, dass kommt immer nur ein mal. :)

Das CF Log sieht gut aus, bitte erstelle ein neues HJT Log und lösche diese Datei.

Okay, hier ist das neue HJT Log. Die Datei habe ich gelöscht.

Sorry, das mit dem Deaktivieren der Links tuts nicht. Ich habe alle ts in den http Links durch * ersetzt, aber die Links sind immer noch da.

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Versuch doch mal Deine Links direkt anzuklicken! ;)
Ein andere Weg ist die Option Links automatische umwandeln.
http://saved.im/mzawotr3cmto_vs/links.jpg

Ansonsten sieht das Log gut aus, hast Du noch Probleme?
Update dein Avira und führe einen Systemscan aus. Poste den Bericht hier.

Die Option Links automatisch umwandeln ist aktiviert. Die Links stehen zwar noch drin, funktionieren aber nicht mehr.

Im Moment habe ich keine Probleme. Mein Virenprogramm ist auf dem neuesten Stand, habe gerade ein Update geladen. Eben hat es noch mal zwei Trojaner gefunden und gelöscht, ich habe es dann ein zweites Mal laufen lassen, um zu sehen, ob die wirklich weg sind. Diesmal hat Antivir nichts gefunden.

Hier ist der Report.



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 7. Juni 2008 17:12

Es wird nach 1313263 Virenstämmen gesucht.

Lizenznehmer: D?sir?e Renardy
Seriennummer: 1102030258-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CHRIS

Versionsinformationen:
BUILD.DAT : 8.1.0.344 19214 Bytes 28.05.2008 17:00:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 03.06.2008 08:05:35
AVSCAN.DLL : 8.1.1.0 57601 Bytes 03.06.2008 08:05:35
LUKE.DLL : 8.1.2.9 151809 Bytes 03.06.2008 08:05:36
LUKERES.DLL : 8.1.2.0 12545 Bytes 03.06.2008 08:05:36
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 22:11:08
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01.06.2008 22:11:08
ANTIVIR3.VDF : 7.0.4.156 144896 Bytes 06.06.2008 19:30:38
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 03.06.2008 08:05:36
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 06.06.2008 19:30:41
AESCN.DLL : 8.1.0.21 119156 Bytes 06.06.2008 19:30:41
AERDL.DLL : 8.1.0.20 418165 Bytes 03.06.2008 08:05:36
AEPACK.DLL : 8.1.1.5 364918 Bytes 03.06.2008 08:05:36
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03.06.2008 08:05:36
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 06.06.2008 19:30:40
AEHELP.DLL : 8.1.0.15 115063 Bytes 03.06.2008 08:05:36
AEGEN.DLL : 8.1.0.28 307572 Bytes 06.06.2008 19:30:40
AEEMU.DLL : 8.1.0.6 430451 Bytes 03.06.2008 08:05:36
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 19:30:39
AVWINLL.DLL : 1.0.0.7 14593 Bytes 03.06.2008 08:05:35
AVPREF.DLL : 8.0.0.1 25857 Bytes 03.06.2008 08:05:35
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 03.06.2008 08:05:35
AVARKT.DLL : 1.0.0.23 307457 Bytes 03.06.2008 08:05:35
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 03.06.2008 08:05:35
SQLITE3.DLL : 3.3.17.1 339968 Bytes 03.06.2008 08:05:36
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 03.06.2008 08:05:36
NETNT.DLL : 8.0.0.1 7937 Bytes 03.06.2008 08:05:36
RCIMAGE.DLL : 8.0.0.31 2564353 Bytes 03.06.2008 08:05:32
RCTEXT.DLL : 8.0.32.0 86273 Bytes 03.06.2008 08:05:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 7. Juni 2008 17:12

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '37920' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ymsgr_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '20' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 7. Juni 2008 17:30
Benötigte Zeit: 18:28 min

Der Suchlauf wurde vollständig durchgeführt.

4181 Verzeichnisse wurden überprüft
164341 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
164341 Dateien ohne Befall
1009 Archive wurden durchsucht
1 Warnungen
0 Hinweise
37920 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Das Log sieht gut aus. :)

Dann ist ja alles klar. :Boogie: Vielen Dank! :aplaus: :daumenhoc

Bitte noch

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg