Hallo,

also den Avenger habe ich ausgefüht. Hier die log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\4.tmp" not found!
Deletion of file "C:\WINDOWS\system32\4.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\rootrepeal.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Die Datei, die ich bei Virus Total untersuchen sollte, existiert allerdings nicht. Könnte das daran liegen, dass avenger die Datei "C:\WINDOWS\system32\drivers\rootrepeal.sys" gelöscht hat?


Außerdem konnte die Suche keine Datei namens "nwiz.exe /install finden".

Viele Grüße

Firutin

@Donthackme

Bitte klicke rechts oben auf Private Nachrichten und lies die ganzen Nachrichten, die du bekommen hast. Du verstehst von Malwarebekämpfung soviel, wie eine Kuh vom Tiefseetauchen (das ist die Untertreibung des Jahres). :koch:

@Firutin
Hallo und :hallo:

Bitte höre nicht mehr auf Donthackme.

1.) Deinstalliere:

• Adobe Flash Player 10 Plugin
• Adobe Reader 8.1.2
• Java(TM) 6 Update 15
• Kaspersky Online Scanner
• Panda Active Scan
• Sophos Antirootkit
• SuperAntiSpyware

Die gelbe Pest ist mir auch ein Dorn im Auge.

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Download der Java-Software von Sun Microsystems
• Adobe Reader oder besser FoxIt Reader
• Adobe - Adobe Flash Player

3.) Neues Skript für den Avenger:
4.) Lösche Avenger vom Desktop, den Ordner c:\avenger und die Datei c:\avenger.txt.

5.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas

Das ist ok. Sehe gerade, das Malwarebytes den Trojaner (4.tmp) gestern bei deinem Scann erwischt hat und das RSIT log vorher gemacht wurde.

Nein. Das sind zwei verschiedene Dateien. Es liegt wohl daran, dass die Datei sich versteckt.
Bitte suche sie erneut: Gehe erst auf "ORDNEROPTIONEN" und dann auf "ANSICHT" entferne nun das Häcken vor: "Geschützte Systemdateien ausblenden" und "Alle Dateien und Ordner anzeigen."
Findest du sie danach auch nicht entfernen wir sie ebenfalls mit Avenger.

Speichere bitte vorher deine wichtigsten Daten auf einem USB Stick!

Dann führe Avenger nocheinmal aus, wie beschrieben

Avenger ausführen

- setze ein Häkchen in: "Automatically disable any rootkits found"
- Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt


Kopiere nun genau folgenden Text in das weiße Feld: (bei -> "input script here")


Zitat:
- schliesse alle offene Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

Es öffnet sich jetzt ein Fenster, der dich auf einen Reboot/Neustart aufmerksam macht.

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), speichern und, kopiere es ab - mit rechtem Mausklick - kopieren - hier im Thread einfügen

@ DHM:

Hallo DHM, vielen Dank für deine bisherige Hilfe, aber ich denke, dass ich jetzt den Anweisungen von john.doe folgen werde, da er mir einfach noch kompetenter erscheint. Dennoch vielen Dank für deine Mühe

@ john.doe:

Also folgendes habe ich entsprechend deinen Anweisungen unternommen:

1. Ich habe die entsprechenden Programme deinstalliert. Auch den Adobe Reader habe ich deinstalliert, obwohl ich 8.1.2 gar nicht mehr hatte, sondern 9.1. Aber da du ja gemeint hast, dass FoxIt besser ist, habe ich mir den geholt.

2. ICh habe die entsprechenden Dateien downgeloadet.

3. Ich habe den avanger entsprechend deinen Anweisungen laufen lassen.

4. Mit HiJackThis habe ich die entsprechenden Dateien gefixed. Nur die folgenden beiden waren nicht in der Liste (wahrscheinlich weil ich ja schon die entsprechenden Programme gelöscht habe):

- O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

- O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

5. und hier schließlich noch das aktuelle Logfile von Hijackthis. Wobei ich sagen muss, dass mir Hijackthis selbst schon sehr verdächtig ist, weil ich ja entsprechend den Anweisungen von Donthackme den gesamten Ordner "trend micro" gelöscht habe. Jetzt war er wieder ganz normal da. Und die verdächtige Datei "Administrator.exe" gleich mit. Aber hier jetzt ersteinmal das LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:01, on 01.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\trend micro\hijackthis.exe

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF493D0E-1E6E-4E36-A10E-9190BF810AE1}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 3906 bytes


Viele Grüße

Firutin

Ja, das ist an Peinlichkeit wohl kaum zu überbieten. Warum hat er dich die ntldr nicht löschen lassen? :headbang:
Die ist immer da. Das ist nur ein umbenanntes HijackThis.

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

ciao, andreas

Hallo john.doe,

Im Moment läuft er ohne erkennbare Probleme. Keine Meldungen.

Viele Grüße

Firutin

Alle Programme, die eingesetzt wurden, können deinstalliert/gelöscht werden.

Du bist entlassen. :)

ciao, andreas

Vielen Dank Andreas,

noch kurz zwei Fragen:

1. Wie kann ich generell verhindern, dass mir so etwas wieder passiert?

2. Du hast von der gelben Pest gesprochen. Meinst du damit Norton? Und wenn ja, was ist eine gute Alternative? Mein Abo läuft demnächst sowieso aus.

Firutin

Aus deiner Beschreibung lässt sich nicht genau ermitteln, wie du dich infiziert hast. Beim Ansehen von Streams passiert das normalerweise nicht, eher beim Installieren von Fakecodecs. :D

Klicke auf die letzten beiden Links in meiner Signatur, dort ist das ausführlich beschrieben. Es sind simple Regeln, die jeder befolgen kann. Damit bist du sicher unterwegs.
:daumenhoc
Brain.exe und noch Avira als Unterstützung.

ciao, andreas