Virtumonde.DLL endgültig weg nach Combo-Fix?
 

Hallo liebes Spezialisten-Team,

ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner hätte. Ich konnte ihn löschen, um ihn sofort beim nächsten Scan wieder zu haben. Danach fing ich an, zu googlen und fand so Einiges zu dem Thema. U.a. auch daß die beste Bekämpfung wäre, wenn man den „Combo Fix“ drüberlaufen läßt. Auch mein PC-Fachmann riet mir dazu. Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot. Allerdings glaubte ich nicht so ganz daran und ließ den Kaspersky im abgesicherten Modus durchlaufen. Auch hier fand er leider nichts. Der Spybot immer wieder dasselbe.

Mein Betriebssystem ist Windows XP. Ich weiß nicht, was Sie noch alles brauchen. Dann versuchte ich die Infos zu besorgen. Denn, ich muß dazu sagen, daß ich absoluter Laie auf dem Gebiet bin. Mit so einem Trojaner hatte ich es bisher noch nicht zu tun gehabt. Bisher konnte ich die, die gefunden wurden, auch problemlos löschen mit Kaspersky.

Mir blieb also nichts Anderes übrig, als gestern den „Combo-Fix“ durchlaufen zu lassen. Vorher hatte ich natürlich Spybot runtergeschmissen, die Firewall deaktiviert ( war sie aber ) und den Kaspersky 2010 beendet.

Anbei habe ich mal den Logfile angehängt und hoffe, Ihr könnt mir helfen und sagen, ob mein System nun sauber ist oder ob ich noch mehr säubern muß. Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe. Ich hoffe sehr, daß der Combo-Fix seine Dienste geleistet hat.

Schaut Euch bitte mal den Logfile an und editiert bitte gegebenenfalls alles, was ich vergessen habe, zu verschlüsseln. Was ja in dem Wirrwarr durchaus sein kann. Es gibt noch einen Link, den habe ich aber gelassen. Wußte nicht, ob ich ihn verschlüsseln sollte oder nicht.

Schonmal ganz lieben Dank im Voraus für Eure Hilfe.

Michael


ComboFix 09-09-05.03 - *** 06.09.2009 14:19.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3071.2626 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2025429265-436374069-1801674531-1003

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 ))))))))))))))))))))))))))))))
.

2009-08-31 11:57 . 2009-08-31 11:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-29 21:21 . 2009-08-29 21:21 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 11:59 . 2009-08-04 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-29 16:18 . 2009-08-04 09:42 -------- d-----w- c:\programme\Trillian
2009-08-05 08:59 . 2008-12-03 11:25 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 09:03 . 2009-05-24 13:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-08-04 08:57 . 2009-08-04 08:57 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-08-04 08:54 . 2009-08-04 08:54 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-08-04 08:54 . 2009-08-04 08:54 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-08-04 08:53 . 2009-08-04 08:53 -------- d-----w- c:\programme\Kaspersky Lab
2009-08-04 08:23 . 2008-12-06 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-29 09:35 . 2008-12-06 12:13 29856 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\CDBurnerXP
2009-07-27 13:02 . 2008-12-03 11:25 80290 ----a-w- c:\windows\system32\perfc007.dat
2009-07-27 13:02 . 2008-12-03 11:25 448726 ----a-w- c:\windows\system32\perfh007.dat
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\MSBuild
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\Reference Assemblies
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl(2)(2).dll
2009-07-15 12:04 . 2009-07-15 12:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-15 11:38 . 2008-12-12 13:32 -------- d-----w- c:\programme\Trillian ALT
2009-07-12 10:21 . 2008-12-03 11:25 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2008-12-03 11:25 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2008-12-03 11:25 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-12-03 11:24 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-12-03 11:25 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-12-03 11:24 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-12-03 11:35 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc(2)(2).dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-05-16 16862720]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"LightScribeService"=2 (0x2)
"NMIndexingService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.12.2008 13:25 77312]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://domain.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7khhru3l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.domain.de/|http://www.domain.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-06 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-06 14:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-06 12:30

Vor Suchlauf: 5 Verzeichnis(se), 144.335.937.536 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 144.810.303.488 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

166 --- E O F --- 2009-08-26 22:42

Hallo und Herzlich Willkommen! :)

Allgemein ist so:
War das jetzt ein Fehlaram oder eine echte Trojanermeldung?:
Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht, dass sie so harmlos sind, wie (oft) dargestelltwird ;)
Was hat das damit zu tun bzw mit Geld? Einfach Windows CD einlegen formatieren + Windows neu zu installieren...

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Hallo Coverflow,

erstmal ganz lieben Dank für die nette Begrüßung und daß Du Dich schon so schnell meinem Problem angenommen hast. Die Zusatzinfos werde ich auf jeden Fall schauen, daß ich sie Dir noch besorge. Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?

Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?

Deine Anweisungen werde ich am WE mal in Ruhe abarbeiten. Dazu brauche ich Zeit und Musse. Jetzt habe ich noch eine kleine Frage am Rande: Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?

Ganz lieben Dank schonmal!

Michael

kannst Du machen, die sind Einstellungen damit wird nix gelöscht oder so. Am Ende wreden wir wieder rückgängig machen:)
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren
ja...:)

Oki, dann werde ich das machen.

Du, ich habe jetzt versucht, den Combofix runterzuschmeißen, allerdings stand dann da: Kein Combofix vorhanden. Wie kann denn das sein? Obwohl ich ihn ja noch auf dem Desktop habe. Ich habe aber diese Quoobox gelöscht und den Papierkorb geleert. Troztdem ist Combofix noch da. Und kann es sein, daß er mir den ganzen Papierkorb beim Reinigungsvorgang gelöscht hat?

edit: AH jetzt hat es gekappt. Der Kaspersky hatte sich wieder gemeldet und dann wollte Combofix erst, daß man wieder alles deaktiviert. Ich hab auf zulassen geklickt und dann hat er es runtergeschmissen. Ok, müßte jetzt erledigt sein. Desktop-Symbol ist auch weg. Aber auf der Festplatte ist noch ein Ordner Combofix. Ist das richtig? Ich denke, er ist runter? Bin da etwas irritiert jetzt.

sollte weg sein...

Ja, ich habe den Ordner jetzt manuell noch gelöscht, jetzt ist er endgültig weg. Danke auf jeden Fall. Aber ist jetzt durch die Säuberung von Combo-Fix der Papierkorb komplett geleert worden? Ich habe doch ziemlich gestutzt, als er plötzlich leer war.

Und Deine Anweisungen werde ich am WE in Ruhe abarbeiten.

Im Prinzip hast Du ja recht, daß ein Virus einem Virenprogramm auch bekannt sein muß, ehe es ihn auch erkennen kann. Das ist klar, aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht. Kann ja dann auch nicht so ein gutes Programm sein. Ich verlass mich jetzt daher mal nicht auf die Virenscanner, sondern laß lieber gleich von Euch die Logfiles auswerten. Da ist man dann auf der sicheren Seite. :daumenhoc

Welche Datei identifiziert spybot SD denn als "vundo"? -> bitte mit genauer Pfadangabe, Lade die Datei zur Prüfung bei virustotal.com zur Prüfung hoch und poste hier die Ergebnisse des scans.

2 Hinweise:
- Wenn du Kaspersky nutzt, ist Spybot S&D überflüssig. Ich vermute stark einen Fehlalarm. Bevor du Dateien löschst, die als infiziert oder Schädling von deinem Virenprogramm ausgegeben werden, mache eine Gegenprobe bei virustotal.com. Bestätigt sich die Infektion, lösche die Datei dennoch nicht, sondern verschiebe sie in die Quarantäne. Das hilft, einen Überblick über das Schadpotential zu gewinnen.

- combofix ist kein tool, dass man mal eben so auf sein System loslassen sollte. Das Ding geht recht invasiv zur Sache; deshalb wirst du hier auch bei den Anleitungen/faqs nichts dazu finden.

ja schon... "Trojan Vundo" ist schon längst bekannt als trojanisches Programm - genau gesagt "Adware", nur halt verwendet mehrere Dateien hintereinander und die Dateinamen ändern sich (Groß/Kleinschr) ständig
was ich gemeint habe, damit Du besser verstehen kannst Beispiel:

- Vundo erzeugt heute: ujmyoo.dll -> gleich aufnahme in der Datenbank -> morgen: geBqOFus.dll<- zwar die Struktur/Merkmale für Vundo typisch, aber die Datei "geBqOFus.dll" noch nicht bekannt. Wenn man Glück hat, der Virenscanner erkennt, wenn nicht dann...Pech gehabt.:zzwhip:

Erstmal wieder vielen lieben Dank für Eure Antworten. Muß ich mir morgen nochmal in Ruhe zu Gemüte führen. Allerdings kann ich den Spybot 6.1.2. nicht nochmal drüberlaufen lassen, weil ich im Moment ein großes Problem habe: Ich habe ja wegen dem Combofix den Spybot deinstallieren wollen über Systemsteuerung. Allerdings waren da dann wohl noch Reste von übrig. Heute wollte ich ihn wieder draufmachen und bekam folgende Meldung:

Fehler: SDHelper.dll

Die vorhandene Datei ist schreibgeschützt. Klicken Sie auf Wiederholen, Ignorieren oder Abbrechen.

Was soll ich da klicken? Und woran kann das liegen? Daß schon ein Ordner vorhanden ist?

Und wo kann ich denn dann die genaue Pfadangabe sehen? Bisher sah ich da immer nur die Namen der Funde. Aber ohne genauere Angaben.

@Ordell: Es wäre wirklich super, wenn das nur ein Fehlalarm von Spybot wäre. Aber das will ich ja hier lieber mal von Euch abklären lassen.

Die logs von spybot liegen unter Durchforste die logs nach dem Fund poste das Ergebnis.

Die sdhelper.dll liegt im Programmverzeichnis von Spybot SD c:\programme\spybot... versuche mal das Verzeichnis zu löschen. Funktioniert das nicht, führe zunächst die Schritte von Coverflow aus, das Problem beheben wir später.

So, Schritte 1 und 2 schonmal ordnungsgemäß ausgeführt. Bitte schaut, ob ich alles Persönliche weg habe und löscht es notfalls. Ich weiß doch absolut nicht, was als persönlich gilt und was nicht. Serien-Nummer und Benutzername sind raus. Aber wenn doch noch eine persönliche Zahl sein sollte, dann bitte löscht sie!

SO, anbei erstmal die Logfiles von filebat:

noch bitte Punkt 3.:-> http://www.trojaner-board.de/77214-virtumonde-dll-endgueltig-weg-nach-combo-fix-2.html#post463799

Ja mach ich auf jeden Fall noch. Sag mal, muß ich dazu die Virenscanner auch ausmachen vorher? Also bevor ich den CCleaner starte?

nein..wenn das nötig wird, werd ich dich darauf extra hinweisen:)

Alles klar. So hier noch die Programme:Auch hier bitte Persönliches löschen, falls dort etwas Verfängliches sein sollte.

hi

1.
Adobe Reader: bitte updaten!

2.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

*SuperAntiSpyware*<- Anleitung

Das klingt ja so, als wenn doch noch was auf meinem System ist. Soll ich meine HP auch schützen oder kollidiert das mit dem Kaspersky?

So, also soweit ich das feststellen konnte, als Laie, dürften das nur harmlose Cookies sein. Kein Virtumonde oder sonstige schlimme Schädlinge. Oder was meint der Fachmann dazu? Ich hoffe, ich habe nichts Verfängliches dringelassen.

hi

keine Spur...

1.
SUPERAntiSpyware kannst entfernen

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

- Ordnerinhalt überall markieren und löschen

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.

- Scanne abschließend Dein System mit einem größeren Zeitabstand, mindestens drei der folgenden Online-Scanner :
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Was ist mit den logs von Spybot SD? Bist du fündig geworden? Funktioniert die Neuinstallation von Spybot?

Spybot längst vom System entfernt worden...also Log gibt`s logischerweise auch nicht mehr!

Moment, ich bin jetzt etwas irritiert. Ist jetzt Entwarnung? Ist es harmlos? Verstehe das nicht. Kann ich ruhig schlafen? Ja, das mit meiner externen Platte ist so eine Sache. Habe ja vor kurzem noch Daten rübergeschoben. Muß ich die vorher nochmal scannen? Ok, die anderen Sachen mache ich dann morgen.

Ja, genau, Spybot hatte ich ja vom Rechner geschmissen, Ordell. Sorry, da kann ich nichts mehr zu sagen.

Aber ehrlich gesagt, verstehe ich die weiteren Punkte nicht. Wo lösche ich die temporären Ordner und wie? Kannst Du mir Schritt 2 nochmal in Ruhe bitte erklären?

"kurze Albtraum" noch erlaubt ;)
ja wir sollten noch die scannen lassen, um sicher zu gehen (wie beshcrieben):)

Bei der Deinstallation von Spybot SD werden mitnichten die logs gelöscht.Fehlen die logs, hat's ein anderes Programm wegrasiert.

my2cts

Ok, also System ist jetzt sauber, nur halt gehts noch um die externen Platten? So wie ich das verstanden habe? Also Adobe habe ich jetzt auch aktualisiert. Den Flashplayer auch. Hoffe, das ist ungefährlich.

Aber den Schritt 2 verstehe ich nicht. Kannst Du es mir bitte noch mal erklären und sollte ich doch nochmal Super AntiSpyware für den Scan der externen draufmachen? Ich habe ihn ja jetzt über Systemsteuerung entfernt.

Ich komme mit den temporären Dateien nicht klar. Wo genau muß man was löschen? Sorry, aber ich hab wirklich überhaupt keine Ahnung, obwohl ich durch Dich hier schon eine Menge gelernt habe! Ich hoffe, ich lösche mir da keine wichtigen Daten bei. Ist das das über Ausführen, was du da beschrieben hast? Ich bin das erste Mal im Herzen des Systems. Das ist für mich etwas völlig Neues, daher frage ich lieber paarmal nach, ehe nachher mein Rechner nicht mehr geht.

Auf jeden Fall ganz lieben Dank! :daumenhocUps, jetzt meckert der Kaspersky, will NEustart! Wißt Ihr was das ist?


Weiß ich nicht ordell, was das mit Spybot ist. Muß ich nochmal schauen. Aber in dem Ordner war nichts mehr drin.

Also ich wollte gerade mal das mit dem clean machen, aber das geht bei mir nicht. Ich seh dann nur zur Auswahl meine beiden Festplatten.

Also hier das:

Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" -

die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"

Ich sehe bei mir keine temporary Internet Files. Gibt es noch eine andere Möglichkeit?

Nimm Festplatte c:\

Ok, kann da nichts schiefgehen? Was bewirkt das denn, wenn ich dasw klicke? NIcht, daß er mir nachher die Festplatte löscht!

Nein, da wird keine Festplatte gelöscht. Die temporären Dateien liegen (bei dir) auf c:\, also muss Windows auf c:\ nach den Dateien scannen.

"cleanmgr" heißt auf Deutsch "Datenträgerbereinigung", nicht "~formatierung"

Danke, Ordell.

Da geht dann so eineTabelle auf. Was sind denn die übertragenen Programm-Dateien? Muß ich das auch angeklickt lassen? Das ist schon angeklickt?

Ich muß ja laut Coverflow: Temporary Internet Files und Papierkorb anklicken, richtig? Aber soll ich das Häkchen bei den übertragenen Programmdateien rausnehmen? Weil Da eh 0 KB steht.

Also folgendes steht da:

Übertragene Programmdateien
Temporäre Internetdateien
Offlinewebseiten
Papierkorb
Temporäre Dateien
Web Client Publisher / Temporary Files
Alte Dateien kompromieren
Katalogdateien für den Inhaltsindex

was muß ich alles anklicken?

Der cleanmgr von windows ist harmlos. Damit zerschießt du dir nichts. Eine Beschreibung findest du im unteren Fenster, wenn du einen Eintrag markierst, und bei 0 kb ist es sowieso Banane, da wird nichts "gecleant".

Ob man zB Dateien komprimieren will, ist Geschmackssache. Ich mache es nicht.

Alles klar! Hab ich erledigt. Sollte man das öfters machen? Bei den Temporären Internetdateien hatte sich doch eine ganze Menge angesammelt.

So, jetzt der nächste Schritt, wo ich nicht mit klarkomme. Es sind die letzten Schritte, aber auch die, die es am Meisten in sich haben, finde ich.Sorry, wenn ich so viel frage, aber ich mache das alles zum allerersten Mal und mal an dieser Stelle ein ganz großes und dickes Lob für Eure Hilfsbereitschaft und Geduld. :daumenhoc

* b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
* für jedes Benutzerkonto bitte durchführen
* anschließend den Papierkorb leeren

- Ordnerinhalt überall markieren und löschen

Was ist das? Und was heißt für jedes Benuterzkonto? Und welcher Ordnerinhalt ist gemeint? Ich will ja keine Ordner löschen! Auch von C?

Du kannst gleich zu Schritt 3 springen und den ccleaner laufen lassen. Der arbeitet Schritt 2 mit ab.

Zu den Benutzerkonten: XP bietet die Möglichkeit, verschiedene Benutzerkonten anzulegen. Standardmäßig arbeitet ein XP-Nutzer mit vollen Rechten (Administratorkonto). Mit diesem Konto lassen sich sämtliche Einstellungen am System vornehmen. Unter Sicherheitsgesichtspunkten ist das fatal. Deshalb ist dringend zu empfehlen, neben dem Administratorkonto ein weiteres Konto anzulegen, dass nur über beschränkte Rechte verfügt. Hier in die Einzelheiten zu gehen, führte an dieser Stelle zu weit, daher ein link: Cidres-security.de - Mit Sicherheit durchs Netz! - Eingeschränktes Benutzerkonto Schau auch mal bei den faqs zum Thema Absicherung/Neuaufsetzen des Systems vorbei.

Da du offensichtlich noch nichts davon gehört hast, entfällt bei dir: für jedes Benutzerkonto bitte durchführen

Danke Ordell. Das mit dem Benutzerkonto habe ich nicht gewußt. OK, daß man mehrere einrichten kann, schon, aber ich habe das nie gemacht, da ich eh der einzige bin, der den PC nutzt. Was ist denn daran sicherer? Ich werde mir Deinen Thread mal durchlesen.

Wie Du gesagt hast, bin ich gleich zu Punkt 3 übergegangen und habe den CCleaner drüberlaufen lassen.


SO, nochmal eine Frage:

Er hat mit dem CCleaner jetzt alles soweit bereinigt. Aber jetzt kommt das mit der Registry. Kann ich da auch ohne Bedenken: Fehler beheben sagen? Weil ja damit die Registry geändert wird. Ich habe da ein wenig Angst. Kann da nichts passieren? Der will auch, daß ich das erstmal abspeichere. Das ist mir irgendwie nicht geheuer.

Änderungen in der Registry sichern: Ja?

Jetzt kommt das nicht mehr mit dem Speichern komisch. Aber vorhin war das. Jetzt ist das mit den Änderungen speichern?

Ich kenne keinen Fall, bei dem der reg-cleaner von ccleaner Mist gebaut hätte. (dir wird auch die Möglichkeit eines Registry-backups angeboten -> ob's was hilft, erfährt man, wenn der Laden nicht mehr läuft :D)

Ich kenne aber auch keinen Fall, bei dem eine Registry-Säuberung Vorteile gebracht hätte. -> Virenbeseitung mal außen vor gelassen

Schön und gut, aber jetzt weiß ich immer noch nicht, ob ich die Registry säubern lassen soll oder nicht. Laut Coverflow ja, aber ich weiß nicht. Wenn der Laden nicht mehr läuft? Na das bruhigt mich ja nicht sonderlich! :confused:

Er hat auf jeden Fall so Einiges gefunden zum säubern. Nur weiß ich halt nicht, ob ich ja klicken soll oder eher nicht.

Ja, ist gefahrlos.

Du kannst davon ausgehen, dass die Tipps dein System nicht schrotten. Also frage bitte nicht bei jedem Schritt nach, ob du das wirklich tun sollst. Ja, du sollst, sonst stünde es nicht da. Dein Gefahrbewußtsein in allen Ehren, v.a hätte es aber bei combofix greifen sollen, denn das Tool ist nicht ohne.

Ja schon gut, ich mach es ja. Sorry.

Aber jetzt habe ich so eine komische Meldung:

Die Datei C:\WINDOWS\system32\pxwma.dll verweist auf eine gemeinsam genutzte DLL, die nicht existiert. Diese Verweise bleiben oft nach Deinstallationen übrig.

Lösung: Registrierungs-Wert löschen.

Soll ich das ignorieren und dann einfach auf Fehler beheben gehen?

Dafür hast du das Programm ausgeführt. Klicke auf "alle beheben".

So, auch erledigt. Neustart auch. Alles funzt noch! Jetzt nur noch die externen Laufwerke scannen. Wieder mit Antispyware? Ist am besten, oder? Und wann muß man die Shift-Taste gedrückt halten? Nur, wenn ich sie anschließe und dann wieder loslassen?

Verhindert die Shift-Taste, daß falls auf der externen ein Virus ist, daß er wieder auf den PC kommt? Und wie kann ich die externen dann scannen? Dann muß ich Antispyware auf der externen installieren, oder? Und ComboFix? Damit er ihn sofort entfernt?

Das mit dem IE-Explorer soll ich machen, bevor ich eine externe Platte scanne? Was ist damit gemeint, nicht alles auf einmal scannen? Oder bezieht sich das mit dem System scannen schon auf einen 2. Punkt? NACH dem Scannen der externen?

Es tut mir leid, ich frage jetzt nicht, ob ich es machen soll, sondern wie, da ich irgendwie einige Probleme habe, die Anweisung 4 zu verstehen. Vertrauen tu ich Euch, sonst wäre ich nicht hier, aber da ich Laie bin und mich absolut nicht auskenne, muß ich lieber einmal zu viel fragen. Bisher habe ich alles vom Fachmann machen lassen. Aber durch Euch lernt man eben, daß man Vieles auch selbst machen kann. Und dafür bin ich Euch auch sehr dankbar.

Aber wegen 4 kannst Du es mir nochmal bitte etwas ausführlicher und klarer erklären? Ich komme da nicht so ganz mit.

Anweisung:

Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.

- Scanne abschließend Dein System mit einem größeren Zeitabstand, mindestens drei der folgenden Online-Scanner :
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Zwischenfrage: Waren denn irgendwelche externen Medien angeschlossen, als du spybot hast laufen lassen?

3 online-scans halte ich (im Ggs. zu coverflow) für überdimensioniert. Ich sehe keine Anzeichen einer Infektion. Halte die shift-Taste gedrückt, während du die Medien anschließt. Dies verhindert u.U. eine Infektion per Autostart. Ist das Medium von Windows erkannt, kannst du die Taste loslassen. Anschließend scanne die Medien mit deinem Kaspersky. Für combofix oder andere scannertools sehe ich keine Veranlassung.

Poste bitte nach dem scan noch ein log von rsit, damit wir einen Überblick haben (logs von 1 Monat wählen).

Oki, danke schön, das habe ich gut verstanden. :daumenhoc

Nein, während ich die externe anhatte, lief kein Spybot. Also reicht völlig aus mit dem Kaspersky zu scannen? Obwohl der ja den Virtumonde ja nicht erkannt hat? Deshalb wollte ich den Antispyware lieber laufenlassen. Aber ok, wenn Du meinst, 3 bräuchte ich nicht, reicht der Kaspersky.

Na das sind doch mal gute Nachrichten, daß keine Infektion vorliegt. Das beruhigt mich doch jetzt sehr.

Was ist denn rsit? Aber mache ich natürlich. Extern und System?

rsit lies Systeminfos aus. Poste bitte das log gemäß der Anleitung. Die externen Medien spielen hierbei keine Rolle.

Für ein dauerhaftes Unterbinden des Autostarts angeschlossener Geräte (ist zu empfehlen):
Start-> Ausführen -> cmd ENTER

Im schwarzen Fenster (cmd Konsole) gib das ein:Enter

Das erspart dir das wacklige shift-Halten. Die Änderung wird erst nach einem Neustart wirksam. Danach schließe die Medien an und feuer Kaspersky mit aktuellen Signaturen ab.

OH danke schön. Dann brauche ich also die Shift-Taste nicht zu halten und brauche einfach nur den Befehl einzugeben, Neustart und dann ist es dauerhaft. Wie praktisch! Ganz lieben Dank! Dann mache ich das jetzt immer, wenn ich ein externes Medium anschließe. :)

Aktuelle Signaturen ist das ein Update? Ich mache ja immer automatische Updates. Kaspersky müßte eigentlich immer auf dem neuesten Stand sein. Aber ich schau gleich nochmal.

Gut, das rsit mache ich auch. Aber voraussichtlich erst morgen.

Ich melde mich nochmal kurz: Da steht:

No Drive Type AUtorun exists. Overwrite? Yes or No?

Also ist das schon da? Auf No gehen oder?

Yes drücken. der Wert 255 bzw 0xff deaktiviert den Autorun sämtlicher externen Geräte. Den Reg-eintrag mußt du nur 1 mal ausführen, die Einstellung bleibt auch nach einem reboot und gilt systemweit.

Dankeschön, hab Deinen Rat befolgt, yes eingegeben, bestätigt, Neustart und jetzt die externe Platte dran. ( Änderungen wirksam ) Kaspersky läuft. Ich laß jetzt nur die externe scannen erstmal. Und was meinte Coverflow da mit den INternet-Browser-Einstellungen? Das war das, was ich alles nicht kapiert hatte.

Also, jetzt brauch ich das mit der Shift-Taste nie mehr zu machen? Dieser Befehl ist jetzt dauerhaft für immer? Sehr gut! Ich mache mir nur noch ein wenig Sorgen, weil ja der Kaspersky keinen Virtumonde findet. Aber Du meinst, Antispyware wäre nicht mehr nötig? Dann laß ich das.

Ich wüßte nur mal ganz gerne, ob ich den Virtumonde überhaupt drauf hatte oder ob es ein Fehlalarm war und wann ich ihn mir WENN, eingefangen habe?

Bei einem onlinescan, wie von coverflow verlinkt, wird der scanner nicht lokal auf dem System installiert, allenfalls - und ich glaube üblich - die Signaturdatenbanken. Die Steuerung des scans läuft über ActiveX, einer Eigenart des Internet Explorers. Diese ActiveX-Elemente müssen für den scan installiert werden. Damit das funktioniert, muss der Browser, sprich IE, die Installation von ActiveX-Elementen zulassen, und dies erreicht man mit den Standardeinstellungen beim IE, von denen coverflow sprach. In einer ruhigen Minute kannst du das mal testen. Derzeit ist es nicht relevant, da ich einen onlinescan nicht für notw. erachte. Richtig. Kaspersky findet sehr wohl virtumonde, entscheidend ist die Frage: War er überhaupt auf dem System?! Spybot SD hat ihn gemeldet - als einziger scanner - und ich trau dem nicht, da spybot in der Vergangenheit öfter mit Fehlalarm - auch im Hinblick auf virtumonde - zu kämpfen hatte.

Deshalb haben mich in erster Linie die Logs von Spybot interessiert, um einen sinnvollen Gegencheck zu machen. Aber dazu später...

Mist, ich wußte das nicht mit den Spybot-Logs. Hätte ich das eher gewußt, hätte ich es noch nicht sofort deinstalliert. Ja, es wäre wirklich super, wenn das nur ein Fehlalarm gewesen wäre. Du meinst, Kaspersky würde den Trojaner auch finden? Gut, dann bin ich doch beruhigt und vertraue ihm auch weiterhin. Also hältst Du nicht viel davon, daß ich mir zusätzlich noch den Antispyware draufmache? Reicht der Kaspersky völlig aus? Von Spybot halte ich auch nicht soviel. Finde diesen Antispyware ja viel besser. Aber Du meintest, wenn man Kaspersky hat, wäre der überflüssig?

Ja ich werde das mit dem IE mal in einer ruhigen Minute demnächst machen. Danke auf jeden Fall für Deine Erklärungen. Muß ich morgen aber auch nochmal in Ruhe durchlesen.

Dieses rsit mache ich aber morgen auch noch und stelle es hier rein. Nur dann sollte bald alles wieder sauber sein, hoffe ich. Aber ich glaube langsam auch immer mehr an einen Fehlalarm. :)

Externe Platte war astrein. Keine Infektion gefunden hat Kaspersky gesagt. Was ist denn eigentlich mit den CD´s, die ich vor kurzem gebrannt habe? Sol ich sie auch mal scannen lassen? Aber ich will ja nicht, daß FALLS wieder was da sein sollte, der PC wieder infiziert wird. Gilt diese Autorun-Funktion auch für CD´s?

So hier mal das erste von RSIT:

Ich habe das zweite auch. Nur bin ich nicht sicher, da steht System log. Wobei wieder soviele private Infos über den PC stehen. Name des Computers und so. Was soll ich da alles besser verschlüsseln vorher oder soll ich es einfach so reinstellen?

Ach und noch eine Frage: Wegen dem CCleaner meldet sich jetzt immer der MCAfee und will das System scannen. Soll ich das erlauben? Aber ich brauche den doch nicht mehr oder? Kaspersky reicht doch. Was meint Ihr?

McAfee solltest du deinstallieren, das ist überflüssig.

Mich irritiert:
der 323er ist gaga beim anderen sollte 255 stehen, sofern du den "reg add"-Befehl ausgeführt hast

poste bitte die Ausgabe von:

Die persönlichen Infos im Syslog bitte mit ********* unkenntlich machen.

Das verstehe ich aber auch nicht. Ich habe doch den Befehl so durchgeführt, wie Du gesagt hast. Und da stand auch: Änderungen werden aktiv.

Komisch. Soll das heißen, es hatte nicht funktioniert? Also soll ich den neuen Befehl jetzt nochmal eingeben bei cmd? Den Du jetzt nochmal aufgeführt hast? Oder was meinst Du mit posten? Woran kann ich denn sehen, ob es geklappt hat?

Ja, das ist ein guter Witz! Die persönlichen Infos. Woher soll ich armer Laie denn wissen, was zu persönlich dazuzählt und was nicht bei dem ganzen Wirrwarr von Zahlen und Namen?`Am besten wohl alles von Sys log. Oder sag am besten nur, was Du von dem Syslog überhaupt brauchst.

Ich wiederhole mich Indem der arme Laie mal in faqs schaut: http://www.trojaner-board.de/69887-f...en-web-pc.html

edit: Ok, laß die reg query -Befehle sein. Rsit ließt die Werte richtig aus.

Führe stattdessen aus

Ich verstehe nicht ganz, wenn das nicht geklappt hat, muß ich dann doch besser wieder die Shift-Taste gedrückt halten um sicher zu gehen? Gut, dann gebe ich deine neuen drei Befehle ein und laß RSIT nochmal auslesen und stelle es dann rein. Hoffentlich klappt das dann jetzt.

Du, bei den FAQs habe ich ja gelesen. Ich weiß, den Benutzernamen, aktive Links und so, alles verschlüsseln. Aber bei dem System Log da stehen soviele Sachen.

Computer-Name
Event-Code
Record Number
Source Name

Da weiß ich leider nicht, was ich davon angeben soll und was nicht. Was ist zu privat und was nicht? Also ich denke Computer-Name auf jeden Fall.

Sicher, dass bei deiner Paranoia ein öffentliches Forum das Mittel der Wahl ist?! :rolleyes:

Wenn dein Computer deinen Realnamen enthält, deine Tel.Nr, deine e-mail-Adresse oder er "Michi's Schlüpferstürmer" heißt, dann editiere. Die anderen Einträge lass, wie sie sind.

Das hat ja nichts damit zu tun. Ich gebe Euch ja die Infos. Nur weiß ich ja leider nicht, was man angeben kann und was nicht. Ich bin leider mal Opfer von einem PC-Crack geworden, der meinen PC fernsteuern konnte. Und da ist doch klar, daß man dann besonders auf der Hut ist.

Aber mal was Anderes: Habe ein neues RSIT gemacht. Und er hat wieder nur 323 angegeben. Was kann das nur sein?

Das andere hat er nicht mehr erstellt. Aber das stelle ich nachher auf jeden Fall noch rein. Muß jetzt aber erstmal weg.

rsit schreibt ein falsches log, warum auch immer... Den Fehler kann ich nachvollziehen, kapiers aber nicht. Vielleicht besteht ein Zusammenhang mit combofix.

Poste bitte die Ausgabe von (wie immer start-Ausführen -cmd -> obigen Text einfügen)

und zusätzlich das rsit-log, an dem Autorun eintrag stören wir uns nicht weiter

Also den Befehl habe ich wieder ordnungsgemäß ausgeführt. Nur leider schreibt RSIT wieder die Sache mit der 323. So, als hätte sich nichts geändert.

Befehl, Ok und dann Neustart. Und im schwarzen Fenster stand auch wieder, daß der Befehl ordnungsgemäß ausgeführt wurde.

Log folgt noch. Aber ich wollte Dir nur schonmal sagen, daß er immer noch 323 als Zahl hat. :confused:

edit: Hier das Log, da siehst DU, daß es wieder dasselbe ist!

Ganz langsam:

Führe aus, es öffnet sich ein Fenster, poste den Inhalt des Fensters. rsit interessiert in dem Zusammenhang nicht. Von rsit möchte ich nur noch die - editierte - info.txt.

Ahso! :)

Das hier ist der Inhalt des Fensters, wenn ich den Befehl ausgeführt habe! Der andere Log muß erst noch editiert werden. Dauert nochwas.

So, hier noch der 2. Logfile von RSIT. Dieser Info-File. Sind das die ganzen Updates, die man im Laufe der Zeit gemacht hat? Ich habe den PC-Namen jetzt auch editiert. Solltest Du ihn brauchen, editiere ich ihn natürlich wieder rein!

Ok, das passt. Autorun ist auch ok, shift-Taste ist nicht mehr notwendig beim Anschließen von Datenträgern.

######################
Neues Kapitel: Spybot SD :D

Bitte installiere Spybot SD - ja, du hast richtig gelesen. Und mache einen scan. Wenn das scheitert, poste bitte die Fehlermeldung.

Du, welchen Link nehme ich denn da am besten? Den Chip-Link? Oder von ihrer Seite? Aber da steht soviel zur Auswahl. Welcher ist seriös und kann ohne Bedenken genommen werden?

Oh ja, ich habe ein sehr mulmiges Gefühl. Das mit dem Autorun beruhigt mich. Dann kann ich gleich noch Daten rüberschieben.

Aber das System müßte ja jetzt sauber sein. Und wenn die anderen nix gemeldet haben, ist es hoffentlich wirklich nur ein Fehlalarm gewesen. Natürlich laß ich ihn drüberlaufen, aber schon mit einem ziemlichen Stein im Magen.

Ich verstehe nicht, warum du dich wie der erste Mensch bei Dingen anstellst, die du längst getan hast?! :confused: Du hast Kaspersky installiert, Spybot, combofix und den on/off-Schalter gefunden.

Fragen mag ja bequem sein, aber mein Geduldsfaden: ----------------------*bing*---------------

Laß Spybot sein, nicht mehr wichtig, ich kann dich mit gutem Gewissen entlassen. Du bist sauber. Lies noch ne Weile im Forum mit, dann erhellt sich dir manches.

Tschau ordell

Das hast Du leider falsch verstanden. Ich hatte doch bei der letzten Installation Probleme mit dem SDLHelper. Und da dachte ich, es wäre besser, wenn ich jetzt mal eine andere Version versuchen würde.

Tut mir leid, wenn ich Dich verärgert habe. Das wollte ich echt nicht.

Ich werde den Spybot schon wieder installiert kriegen und dann den Fehler hier reinstellen, wenn es ok ist. Ansonsten nicht. Behelligen werde ich Dich nicht mehr andauernd. Versprochen.

Aber wenn ich sauber bin, bin ich schonmal beruhigt.


Für den Falll, daß Du genug von mir hast, Ordell, was ich allerdings schade finden würde: Aber ich müßte es akzeptieren:

Trotz allem möchte ich mich ganz herzlich für Eure umfangreiche und schnelle Hilfe bedanken! Auch wenn es mit meiner Fragerei oft ein wenig viel wurde.


Liebe Grüße

Michael

Folgende roadmap, damit du weißt, was ich vorhabe:

Im Grund geht es darum, den Fund von Spybot SD zu falsifizieren. Des weiteren scheint Spybot SD nicht vollständig deinstalliert.

1. Spybot SD laden -> The home of Spybot-S&D!
2. Installieren -> bei Fehlermeldung Meldung posten
3. update + scan
4. Funde posten
5. Gegenprüfung der Funde bei virustotal.com
6. wird nichts gefunden, alte scanlogs suchen
7. sind sie nicht mehr da, können wir da nichts mehr machen

Ergebnis: Fehlalarm durch Signaturupdate behoben

8. Deinstallation von Spybot
9. Komplette Deinstallation prüfen

that's it

zu Schritt 2: Wenn beim Installieren eine Fehlermeldung kommt, versuche in der Eingabeaufforderungund probiere erneut die Installation. -> klappt das nicht, poste die Fehlermeldung so genau wie möglich

Hallo Ordell,

danke, es freut mich sehr, daß Du doch weitermachst! :)

Also Folgendes: Bei der Erstinstallation hat er mir wieder die Fehlermeldung gebracht: Sie machte noch den Download, wo gesagt wurde:

Download: Setup is now downloaded bei additional files to your computer.

Bei overall progresse und unten current files lief es wunderbar, dann kam die Fehlermeldung:

C/Programme/Spybot-Search & Destroy / SD Helper.dll
Die vorhandene Datei ist schreibgeschützt.
Klicken Sie auf Wiederholen, um den Schreibschutz zu entfernen, Ignorieren, die Datei zu übersrpingen, oder Abbrechen, um die Installation abzubrechen.

Dann aber gab ich Deine Eingabeaufforderung ein und die Installation funzte ganz normal.

Hab jetzt auch einen Scan drüberlaufen lassen. Von Vitrumonde keine Spur, nur hier die beiden:

Doubleclick ( Tracking Cookie )
Tradedoubler ( Tracking Cookie )

Jetzt weiß ich allerdings nicht, wo ich Dir zeigen kann, wo sich die Dateien befinden. Ich habe schon auf Zeige Logfile geklickt, aber da kommt nichts. Ich werde die beiden Probleme aber beheben, sobald Du mir grünes Licht gibst.

Klingt jedenfalls harmlos. Ich hoffe, daß sie es auch sind. Bin doch ziemlich erleichtert, daß kein Virtumonde mehr da ist. Also war es doch nur ein Fehlalarm? Ich würde gerne die alten Logs suchen, weiß aber nicht wo und außerdem ist in dem alten Ordner nichts mehr drin, sorry. Es sei denn, Du hast einen Trick, wie man dadran kommt.

Nach dem Beheben werde ich dann wie Du gesagt hast, Spybot wieder deinstallieren über Systemsteuerung und den Rest von Hand löschen. Aber schau Dir mal in Ruhe an, ob ich sie beheben kann.

Das sind bloß cookies, die du löschen kannst.

zu Schritt 6:
Gehe in Spybot SD in der Menüzeil auf Modus -> erweiterter Modus
Am linken Fensterrand erscheint eine Menüleiste -> Werkzeuge -> Berichte -> frühere Berichte

Die Berichte heißen Checks-%Jahrr%%Monat%%Tag%-%Uhrzeit%. Wenn dort Berichte sind, die nicht von heute stammen (checks-090915-...), poste ihren Inhalt.

Wenn nicht, halb so wild.

Anschließend folgt die Deinstallation; die Anleitung poste ich. Bitte vorher nicht selbständig Spybot entfernen.

Leider ist nichts mehr da. Es stand nur der Bericht von heute da. Nirgendwo etwas mit früheren Berichten zu sehen. :(

Oki, Cookies sind gelöscht. Und wegen der Deinstallation warte ich auf Deine Anweisungen!

Ok, ich bin aber sicher, dass ein Fehlalarm vorlag.

Deinstallation
1. Immunisiere mit Spybot
2. Mache die Immunisation rückgängig
3. Erst dann deinstalliere Spybot SD über die Systemsteuerung
4. speichere folgenden Text als remove.bat auf dem Desktop ab und führe sie-> Spybot SD sollte jetzt vernünftig deinstalliert sein, die remove.bat vom Desktop kannst du löschen

Damit simmer durch :)

Gut, wenn es ein Fehlalarm war. Prima, daß wir das endlich geklärt haben!

Ich muß Dich noch ein letztes Mal nerven: Hab immunisiert und sie wieder rückgängig gemacht und auch Punkt 3 abgearbeitet. Aber was meinst Du mit "als remove.bat auf dem Desktop speichern? Heißt das, daß ich den Text im cmd wieder eingeben soll? Bitte nochmal kurz erläutern, was das bedeutet. Dann bist Du mich auch bald los!
Oder einfach im Word den Text abspeichern?

Und vielen lieben Dank für Deine Geduld und sehr schnelle und doch eigentlich gut nachvollziehbare Hilfe! :daumenhoc

Da weiß ich auf jeden Fall, wo ich mich dran wenden kann, wenn ich nochmal so einen Fall habe! CCleaner laß ich mal auf dem System. Kann ja sicher nicht schaden. Müssen die Logfiles wieder gelöscht werden?

Doch noch eine Frage zum Schluß: Und zwar war das eben komisch. Der Papierkorb war ja leer durch die ganzen Säuberungsaktionen. Aber als ich K angeschlossen hatte ( also die externe ), hatte ich einen Ordner gelöscht und in den Papierkorb verschoben. Nur plötzlich waren im Papierkorb wieder die letzten 3, die ich vor 10 Tagen gelöscht habe.

Ganz liebe Grüße und hoffe, nicht mehr so schnell hierhin zu müssen. Weißt schon, wie ich das meine! Von der Hilfe her auf jeden Fall. IHr seid wirklich gut weiterzuempfehlen! Tolles Board und ein super Kompetenz-Team! :daumenhoc

Liebe Grüße

Michael

Du erstellst auf dem Desktop eine leere Textdatei (mit dem Editor/notepad -> einfach Rechtsklick Maus: Neues Textdokument, KEIN Word). In die Textdatei kopierst du obigen Text und nennst diese Textdatei remove.bat. Entscheidend ist die Endung .bat. -> Achte darauf, dass du die Ausblendung bekannter Dateitypen deaktiviert hast, combofix resettet das (Windows Explorer -> Extras -> Ordneroptionen -> Ansicht -> Erweiterung bei bekannten Dateitypen ausblenden -> Haken raus)

Diese remove.bat startest du durch Doppelklick, das erspart dir die einzelne Eingabe der Zeilen.

zur Festplatte K: Öhm, keine Ahnung. Schließe sie an und starte den cleanmgr, siehe im thread weiter oben. -> wähle als Laufwerk k: Das sollte den Papierkorb leeren.

Schon wieder was gelernt! Ganz lieben Dank, Ordell. :)

Aber das mit den Dateierweiterungen ausblenden, war noch der Haken raus.

Stimmt, wenn man diese remove.bat erstellt hat und doppelgeklickt hat, wird es automatisch in das schwarze Eingabefeld übertragen. Dann hab ich gesehen, daß da irgendwas ausgeführt wurde im Schnellverfahren. Ich denke, das war der Rest der Deinstallation. Hab jetzt Neustart gemacht und hoffe, daß jetzt auch wirklich alle Reste von Spybot weg sind. Ich denke, das hat geklappt, denn ich sehe auch im Programmordner keinen Spybot mehr! :daumenhoc

Dann werde ich das mit der K-Platte mal so machen. Wunderte mich nur, warum die auf einmal wieder da waren.

Danke Ordell und Dir noch alles Liebe und Gute! Die Zusammenarbeit hat echt Spaß gemacht! Und man hat sehr viel dazugelernt!

Ganz liebe Grüße

auch an Coverflow

Michael

auf deine PN - McAfee löschen: Im Prinzip läuft das analog zu Spybot SD. Öffne die Eingabeaufforderung und gib ein: (bei Zeile 2 wird ein Fehler kommen, aber das stört nicht)

Ist nicht ungewöhnlich, dass deinstallierte Programme Reste zurücklassen (sogar die Regel). Wenn das Programm nicht mehr installiert ist, kannst du gefahrlos manuell die Reste löschen.

Grüße

Puh, ich habe 2 Fehlermeldungen:

Programm C\McAFee Security Scan\10BCA1~1.150
Der Prozeß kann nicht auf die Daten zugreifen, da sie von einem anderen Prozeß verwendet wird.

und:

C Programme\McAfee Security Scan\10BCA1~1.150\SSScheduler.exe3 - Zugriff verweigert.

Ist das richtig? Irgendwie hat das auch nicht geklappt.

Probier das Gleiche im abgesicherten Modus: heise Security - 29.01.04 - Start in den abgesicherten Windows-Modus

Funktioniert das auch nicht, dann installiere dir das McAfee-Ding nochmal (Kaspersky sicherheitshalber dafür deaktivieren) und deinstalliere erneut.

Wenn's immer noch nichts wird, melde dich nochmal.

So, Ordell, abgesicherter Modus hat gefunzt! Das Ding ist weg. Der Programmordner ist weg und im Autostart ist er auch wieder weg! Zeit mich also langsam zu verabschieden!

Danke nochmal für Deine super Tipps! Ich kann das nur immer wieder sagen, wie schnell hier einem geholfen wird! Natürlich werde ich hier öfters hierher kommen und lesen. Man lernt wirklich eine ganze Menge. Aber solange jetzt alles ok ist, möchte ich mich auch nicht mehr verrücktmachen.

Schön, daß man weiß, daß man so eine sofortige Hilfe bekommt! Und man dann nicht UNmengen von Summen den Fachmännern in den Rachen drücken muß, wo man doch Vieles selbst machen kann!

Aber so wichtige Tipps und die Erfahrungen der anderen mit den Schädlingen sind doch sehr interessant.

Alles Liebe und Gute nochmal an so ein tolles Helfer-Team! :daumenhoc

Gute Nacht und ( nicht bis so bald! ) :)

Michael

Gut. Wenn du auch sonst die Vorsicht walten läßt, wie in diesem thread, bleibst du sauber. Auch Antivirenprogramme machen Fehler, Mitdenken ist also angesagt. Grüße

Ja das werde ich auf jeden Fall! Ich passe jetzt immer besonders auf.

Oh ja, das habe ich nun wieder auch wieder gelernt, daß sogar Antivirenprogramme Mist bauen!

Na, das hoffe ich doch, daß ich sauber bleibe! Werde mich auf jeden Fall bemühen und Deine Tipps beherzigen! :daumenhoc

Liebe Grüße zurück!