Wobei das Schlimme nicht das ist, was offensichtlich ist, sondern eher das, dass ich aufgrund des Befalls vermute (Rootkits). Dafür braucht es Spezialprogramme, die recht brutal sind.

ciao, andreas

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 3

25.08.2009 17:48:32
mbam-log-2009-08-25 (17-48-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 131622
Laufzeit: 38 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich hoffe das is das richtige ^^
Was genau heißt brutal in dem zusammenhang? :-s

Kann es sein, dass Malwarebytes schon einmal gelaufen ist und da einiges gefunden hat? Ich brauche das Log mit den Funden. In der Anleitung ist beschrieben, wie das geht.
Es passiert nur sehr selten, aber manchmal schrottet ComboFix auch Rechner. Schauen wir erstmal, ob es tatsächlich notwendig ist, aber bisher deutet leider alles daraufhin.

http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

Das der Scan wos was gefunden hat von gestern.
Nu mach ich mir echt sorgen -.-



Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 3

24.08.2009 23:00:48
mbam-log-2009-08-24 (23-00-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 136834
Laufzeit: 37 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Die Funde von Malwarebytes sind unbedenklich. Schlimmer ist, was nicht gefunden wurde. :(

Du kannst es auch erstmal auf die sanfte Tour versuchen => http://www.trojaner-board.de/51871-a...tispyware.html

Poste das Log von GMER.

ciao, andreas

ok....:-(
Ich lass den dieser GMER oder wies hieß mal durchlaufen und poste es dann....:-(
Wer baut n solche scheißdinger.....

Leute, die damit Geld verdienen. ;)

Aber es gehören immer zwei dazu, einer der programmiert und einer der runterlädt und ausführt. :) Sei also in Zukunft vorsichtiger im Umgang mit dem Internet. Alles, das du lädst, kann schädlich sein, also immer schön vorsichtig sein.

ciao, andreas

Das hat dieser GMER ausgespuckt.
Und nu??




GMER 1.0.15.15077 [lzpcjg2g.exe] - http://www.gmer.net
Rootkit scan 2009-08-25 20:59:53
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT BAF2E26E ZwCreateKey
SSDT BAF2E264 ZwCreateThread
SSDT BAF2E273 ZwDeleteKey
SSDT BAF2E27D ZwDeleteValueKey
SSDT BAF2E282 ZwLoadKey
SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess [0xBAF328AC]
SSDT BAF2E255 ZwOpenThread
SSDT BAF2E28C ZwReplaceKey
SSDT BAF2E287 ZwRestoreKey
SSDT BAF2E278 ZwSetValueKey
SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess [0xBAF32812]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\atapi \Device\Ide\IdePort0 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdePort1 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdePort2 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdePort3 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-17 sdcplh.sys (SDCPLH/Macrovision Europe Ltd)
---- Processes - GMER 1.0.15 ----

Library C:\Dokumente (*** hidden *** ) @ C:\Dokumente [1064] 0x00400000

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Kay\Eigene Dateien\ICQ\457529781\ReceivedFiles\441054676 ..__Hokage__.\Lego Indiana Jones .cso 442133969 bytes
File C:\Dokumente und Einstellungen\Kay\Eigene Dateien\ICQ\457529781\ReceivedFiles\441054676 ..__Hokage__.\Need For Speed Prostreet - MULTI - RIP - CSO.cso 190775259 bytes

---- EOF - GMER 1.0.15 ----

Zum Glück nicht das, was ich vermutet hatte. Weiter mit SuperAntiSpyware.

ciao, andreas

das hat der ausgespuckt.
Und nu?



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/25/2009 at 09:47 PM

Application Version : 4.27.1002

Core Rules Database Version : 4071
Trace Rules Database Version: 2011

Scan type : Complete Scan
Total Scan Time : 00:29:43

Memory items scanned : 523
Memory threats detected : 0
Registry items scanned : 5958
Registry threats detected : 2
File items scanned : 23472
File threats detected : 5

Adware.Zango/ShoppingReport
HKU\S-1-5-21-1644491937-1614895754-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
HKU\S-1-5-21-1644491937-1614895754-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kay\Cookies\kay@atwola[2].txt
C:\Dokumente und Einstellungen\Kay\Cookies\kay@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\Kay\Cookies\kay@at.atwola[2].txt
C:\Dokumente und Einstellungen\Kay\Cookies\kay@tacoda[3].txt

Trojan.DNSChanger-Codec
C:\resycled

Ich wurde gerade darauf hingewiesen (Danke Kaos), dass du mit einer uralten Malwarebytesversion gescannt hast. Deinstalliere Malwarebytes, lade dir die aktuelle Version und scanne nochmal.

ciao, andreas

ok -.- Werd ich tun.
Hoffe das geht schneller ^^

so, das der neue Log....

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2695
Windows 5.1.2600 Service Pack 3

25.08.2009 23:24:32
mbam-log-2009-08-25 (23-24-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 188911
Laufzeit: 37 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sexvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RPCHGM (Trojan.Keylogger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RPCHGM (Trojan.Keylogger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.Search) -> Bad: (http://www.iesearch.com/) Good: (http://www.Google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


Wie siehts aus? :-s

Viel besser, auf die Meldungen habe ich die ganze Zeit gewartet. Allerdings ist ein Fund bei SuperAntiSpyware dabei, der mir überhaupt nicht gefällt. Jetzt weiß ich nicht, ob dein AVP schon zugeschlagen hat und das nur noch ein Rest ist. Jetzt ist es wohl doch sicherer ComboFix einzusetzen.

Deinstalliere SuperAntiSpyware.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

ok -.-
Ich hab echt bisl angst vor dem Programm.
Hoffe es geht relativ schnell. Muss morgen früh raus und bin dann die Woche über nich da bis sonntag :-s So, ich arbeite das jetz ab.
Ich dank dir für alles schonmal.