Security Allert Center und Avira Funde Net.Worm.Win32.Mytob.t & TR/PCK.Tdss.AA.2442
 

Vorab: Ich hab keine Ahnung vom PC. Ich kann Spielen und sowas, aber hinter den Kulissen bin ich dumm. Das bitte bei Erklärungen beachten.


Also ich bekam plötzlich eine Meldung von Security Center Alert das ich
Net.Worm.Win32.Mytob.t habe die hab ich ignoriert da sobald ich das Fenster angeklickt habe Werbung für nen "Cleaner" kam.

das ganze kam öfters mit verschiedenen Namen, auch TR/PCK.Tdss.AA.2442

Ignoriert hab ich das ganze deshalb, weil ich keine Windows Abwehr benutze sondern AVira. Da mach ich auch brav jedes mal online gehen das Update.

Mein Avira hat aber nicht gemeckert. Ich wollte es öffnen, um mal zu scannen ob es was findet. Dann lies es sich nicht mehr öffnen. gleichzeitig kamen weiterhin immer neue Fenster des Security Center Alert mit den gleichen Namen.

dann floppte unten an der Startleiste eine Sprechblase auf, die meinte um die Sicherheit zu bewahren muss der PC neu gestartet werden. Das hab ich dann auch gemacht, und konnte dann AVira auch wieder öffnen.

Der angefangene Scann brachte einige Funde hervor, die ich alle "Delete" habe. Es war immer der gleiche:

C:\Users\***\AppData\Local\Temp\Installer.exe
Is the TR/PCK.Tdss.AA.2442 Trojan

Ich begann diesen Text einzugeben, als plötzlich der gesamte PC aufhörte zu tun, und ich ihn aus und wieder einschalten musste. Wieder gestartet kamen wieder die mir vertrauten Security Center Alert und eine neue:

Windows-Defender-Warnung über: Trojan:W32/Alureon.BT Warnstufe: Schwerwiegend

außerdem war mein Desktop überfüllt mit Pornobildern.



Ich hoffe ihr könnt wenigstens ein oder zwei Infos aus diesem Text holen, aber bitte helft mir

Gruß Pefi

Eine weiter Frage ist:

Wenn ich jetzt meine eigenen Dateine auf eine Externe Festplatte lade, laufe ich da nicht auch Gefahr, den Virus darauf zu kopieren?



EDIT: Neuer Name aufgetaucht: Virus.Win32.Gpcode.ak

zur Zeit ist Ruhe, es erscheint nur alle Minute der Security Center Alert mit einer Nachricht.

Wenn ich das Fenster in dem er erscheint schließe, passiert nichts weiter.

Klicke ich aber auf "Enable Protection" dann meldet sich mein Avira

Gehe ich richtig in der Annahme, dass der Virus, Wurm, Trojaner was auch immer in diesem Security Center Alert steckt, d.h. solang ich den ignorier alles relativ normal sein müsste?

Was ist dann aber mit der Windows Defender Nachricht?

und...da ich nicht die ganze Zeit den Security Center Alert wegklicken will....wie bekomm ich den weg?

Neue Beobachtung

ich schaute offline einen Film an

Alle Minute kam die Security Alert Center Nachricht. Habe ich immer sofort geschlossen.

Doch nach ca. 1/2 Stunde kam die Nachricht:
Teile des Systems sind beschädigt, Sie werden in Kürze abgemeldet.
Und kurz danach fuhr der PC runter

kann so ein Virus eigentlich aich etwas irrepaables bewirken?

ich trau mich nich mal mehr meinen PC zu starten

Ich bin gerade dran das mit dem CCleaner zu befolgen und die Registry zu zu durchsuchen

Wenn ich aber auf Fehler beheben klick, dann fragt das Programm ob ich

Änderung in der Registry sichern will

Will nix falsch machen, daher frag ich lieber nochmal nach

Ich hoffe das liest einer der lieben Helfer hier, dann kann ich auch weitermachen mit den Anweisungen für Hilfesuchenden

LG Pefi

Herrje! Dasselbe Problem habe ich auch seit gerade. Hast du schon eine Lösung gefunden???
Lieben Gruß

Also ich hab nochmal den AVira laufen lassen und der hat mir wieder Funde angezeigt.

Dann hab ich die in Quarantäne gesetzt, und seither kein Security Alert ehr bekommen, aber der PC ist noch nicht in Ordnung, da bei jedem Hochfahren immer noch der Windows Defender kommt

also wer da was weiß....Der Kampf ist noch nicht zuende:)

Hallo Pefi,

ich habe das gleiche Problem! Habe schon überlegt meinen PC mit der Recovery Funktion neu aufzusetzen. Bin auch ein Laie und würde gerne wissen, ob das hilft?!

Alles Gute,

Rudi

Hallo,

bei mir ist in den temporären Ordner eine install.exe Datei. Da kommt immer diese Warnung. Kann nicht gelöscht werden und die Virenscanner (Avira und Kapersky) kann ich so oft ich will drüberlaufen lassen. Immer wieder Fehlermelungen und das Sicherheitscenter öffnet sich? Bin ratlos. Wer kann mir bitte helfen?

Danke,
Rudi

Hallo an alle

Hatte das selbe Problem hab es wie folgt gelöst:

Den Ordner mit dem Pfad "Dokumente u. Einstellungen/Admin(kann je nach Benutzernamen oder konto anders sein) /Lokale Einstellungen / Temp " öffnen zugleich den Taskmanger öffnen Den Prozes WSCSV32.exe Beenden. Die so eben genante exe von hand aus dem ordner raus löschen (vorsich geht nur wenn der prozes gerade nicht lauft):
Papierkorb leeren.
danach mit CCleaner die Regestrie cleanen und fehler beheben.
Vorsichtshalber noch mal antivir durch laufen lassen und dann solte es eigentlich ohne probleme funktionieren.

Greez Benn

Servus Benn,

vielen Dank für DEine Antwort.

Bei mir ist mittlerweile auch diese Datei vom temporären Ordner verschwunden. Auch diese ominösen Bilder vom Desktop sind weg.
Allerdings öffnet sich das AVAST Antivirus Programm nicht!Das macht mich nervös. Versuche nochmals andere Virenprogramme zu installieren und das System durchlaufen zu lassen.

Wie hoch ist die bestehende Gefahr, dass dennoch ein Trojaner oder Virus installiert ist. Kann mir das jemand bitte erklären?! DANKE!

Spiele immer noch mit dem Gedanken das System komplett neu zu starten, kenne mich aber nicht aus. Am Schluss geht gar nichts mehr - oder nicht mehr richtig!

Vielen Dank und an euch alle noch ein gutes Neues Jahr 2010!

Rudi

Hallo
ich habe das problem auch gehabt aber ich habe es auch "verbannt" also es ist weg

Ich habe es so gemacht:
Erstmal sucht ihr selbst die Datei ihr geht wenn ihr C/:..... geöffnet habt
auf extras (mitte oben im explorer) und dann auf Ordneroptionen und dann Ansicht-->und makiert "versteckte ordner anzeigen" und dann auf übernehmen
dann steht da auch TEMP
Da irgendwo (und ein teil in der registry) ist der Virus
jetzt ladet euch Spybot - Search & Destroy runter (einfach bei google eingeben)oder auf meinn link : http://spybot-search-destroy.softonic.de/
und den dann installieren dann auf Suchen im Spybot und der zeigt euch alles an was gelöscht werden muss , normalerweise auch Windows Security Alert
Bei Fragen...einfach FRAGEN XD
:daumenhoc:daumenhoc:daumenhoc
MfG Hanich

sry Rudolf
habe dich übrsehen
also wenn du dir den Spybot runterlädst und damit überprüfst is es zeimlich sicher das du keinen mehr hast
Und falls du doch WINDOWS neu drauf machen willst das ist sowas von einfach für die leute die lesen können dort wird dir genau gesagt was du zu tun hast und wenn du das machen möchtest dann musst du gucken ob du noch eine lizenz hast

Servus Hanich,

vielen Dank für Deine Unterstützung.

Also bei mir werden die verdeckten Dateien angezeigt. Unter
+ Lokale Einstellungen
+Anwendungsdaten
-Temp
In diesem Ordner waren die auffälligen Dateien. Die habe ich auch alle (bis auf mon001.log Textdokument 1 KB

waren diese zu finden! Zunächst konnte ich diese nicht löschen. Jetzt habe ich alle gelöscht (eben bis auf die o. g. Datei, welche sich nicht löschen lässt)!

Mich macht stutzig, dass ich mehrere Virenprogramme (die ich zuvor auf einen USB-Stick geladen habe) bei dem befallenen PC nicht ausführen kann. Auch der Avira lässt sich nicht öffnen; daher vermute ich, dass noch ein Befall auf dem PC ist, der diese Antivirenprogramme stoppt. Nur Kapersky Virus Removal geht, der findet aber nichts!

Bin nun ganz verunsichert, da ich diesen "verseuchten" PC auch immer für Online-Banking und Wertpapiertransaktionen nutze und hier 100%ige Sicherheit haben möchte.

Hast Du noch eine Idee?!?

Vielen Dank für Deine Unterstützung und liebe Grüße aus Bayern,

Rudi

hmmm..
solange du alles mit Spybot überprüft has ist das kein problem
und falls du Mozilla benutzt steht auf banking seiten unten links immer ein schloss wo SSl Verschlüsselung dann ist das ziemlich sicher
mein tipp: achte auf die Adressen also es gibt sogenannts phishing (http://de.wikipedia.org/wiki/Phishing) diese leute erstellen adressen die minimal vom original abweichen zb.: www.*****bank.de sondern www.*****bank.net usw.
also noch guten gelingen und grüße aus NRW

achja oder lad dir die neu runter kann auch helfen

Hilfe,

also bei mir ist immer noch der Wurm drin. Das Avira Antivir Control Center öffnet sich nicht, so dass ich den PC nicht prüfen kann. Habe auch deinstalliert und andere Programme versucht zu starten AVG, SpyBot etc.! Es gab aber immer eine Fehlermeldung, so dass diese Virenprogramme nicht ausgeführt werden konnten. Das macht mir große Sorgen.

Hat jemand eine Idee, was ich noch machen kann. Bin selbst Laie und ein Plattmachen oder wie man das nennt kann ich ohne Hilfe auch nicht!

Vielen Dank und eine gute Zeit

Gruss

Rudi

WÄRE SCHÖN WENN DU MEIN BEITRAG LeSEN WÜRDEST
:aufsmaul:^^^^^^

Servus Hanich,

vielen Dank und ich habe Deinen Beitrag gelesen. Also das Problem WAR, dass ich SpyBot nicht installieren konnte. Hatte aber den PC nicht online gehen lassen, da ich die Gefahr nicht kenne, was dann mit meinen Daten passiert. Alle anderen Programme zur Virusbekämpfung liesen sich nicht installieren oder wurden nicht ausgeführt.

Mittlerweile hoffe ich, dass ich das Problem - Dank Deiner Hilfe - doch gelöst habe. Ich musste dennoch ans Netz um Spybot zu installieren, der auch prompt die Mistviecher erwischt hat und ich meine nun wieder sauber zu sein.

Gibt es noch einen Test der das ganz sicher bestätigt?

Onlinebanking habe ich aber sicherheitshalber vom Notebook aus gemacht!

Vielen Dank für Deine/Eure Unterstützung und bei genauen Fragen zur Behebung meines Problems stehe ich gerne zur Verfügung.

Auf goldene Zeiten,

Rudi

kannste mal nach Online-Virentest googeln

Hallole, brauche dringend eure Hilfe!

Ich habe seit heute einen Security Alert. Kann leider keine logfile erstellen, da sich mein Malware Programm nicht öffnen lässt. Habe auch schon über den link hier im Forum versucht die CCleaner + Malwarebytes-Anti-Malware herunterzuladen. Bei download:mbam-setup.exe bringt er die Meldung: Dateidownload-Sicherheitswarnung. ich klicke auf ausführen, das funktioniert auch noch, dann kommt die Meldung:Internet Explorer-Sicherheitswarnung, wenn ich dann auf ausführen klicke, geht das Feld wieder weg und das wars. Dies hab ich heute schon ein paar mal so erlebt, als ich Anti-Virenprogramm vom Internet herunterladen wollte. Kann mir bitte jemand helfen wie ich 1. zu einer logfile und 2. diesen Security Alert weg bekomme?
Das wäre ganz arg nett.
Grüße Stefanie

^^

wäre schön wenn du mal meinen obigen tipp/s lesn würdest dann wüsstest du bescheidt

hier nochmal



Hallo
ich habe das problem auch gehabt aber ich habe es auch "verbannt" also es ist weg

Ich habe es so gemacht:
Erstmal sucht ihr selbst die Datei ihr geht wenn ihr C/:..... geöffnet habt
auf extras (mitte oben im explorer) und dann auf Ordneroptionen und dann Ansicht-->und makiert "versteckte ordner anzeigen" und dann auf übernehmen
dann steht da auch TEMP
Da irgendwo (und ein teil in der registry) ist der Virus
jetzt ladet euch Spybot - Search & Destroy runter (einfach bei google eingeben)oder auf meinn link : http://spybot-search-destroy.softonic.de/
und den dann installieren dann auf Suchen im Spybot und der zeigt euch alles an was gelöscht werden muss , normalerweise auch Windows Security Alert
Bei Fragen...einfach FRAGEN XD

MfG Hanich

Hallo,

seit etwa anderthalb Stunden erscheint auch mir ständig dieses Security Center Alert Pop-Up mit andauernd wechselnden Namen der suspicious software (so zum Beispiel gerade Net-Worm.Win32.DipNet.d)

Ich habe zunächst versucht Avira zu öffnen, erfolglos. Inzwischen wollte sich das Malware Programm installieren, hat es auch getan, ich habe es hinterher allerdings wieder unter Software gelöscht und gleich dazu den angelegten Ordner.
Danach habe ich mich hier mal schlau gemacht und den Spybot runtergeladen, der sich allerdings auch nicht öffnen ließ. Smitfraudfix habe ich auch runtergeladen, der ließ sich aber nichtmal installieren. Zwischendurch wollte sich das Malware Programm wieder installieren....Avira habe ich deinstalliert und von neuem installiert, es lässt sich aber immer noch nicht öffnen.
Irgendwo habe ich dann von diesem HijackThis Programm gelesen und das mal runtergeladen, vielleicht kann mir jetzt jemand mit der Logdatei helfen? Ich könnte ausrasten!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:22, on 17.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\cls_pack.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\winhlp64.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SDShred.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [cls_pack.exe] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\cls_pack.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10000 bytes

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

GMER sollte einen Rootkit finden (H8SRTd.sys)....

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach SOFORT MAM laufen lassen, am Besten vorher installieren (wenn es sich nicht installieren lässt, bereits
im Downloaddialog umbenennen auf z.B. Test.exe)...
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Poste das HJ-Log und MAM-Log sowie ein neues RSIT-Log:


RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

ich hab mal ne frage : du sagtest Spybt Search..... liese sich nicht öffnen
wieso läuft der process dann?
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\cls_pack.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\winhlp64.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
:uglyhammer:C:\Programme\Spybot - Search & Destroy\SDShred.exe:uglyhammer:
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Internet Explorer\iexplore.exe

Virustotal


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.16 -
AntiVir 7.9.1.142 2010.01.17 TR/Dldr.FraudLoad.wxpm
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.17 -
AVG 9.0.0.730 2010.01.17 SHeur2.CGRI
BitDefender 7.2 2010.01.18 -
CAT-QuickHeal 10.00 2010.01.16 -
ClamAV 0.94.1 2010.01.17 -
Comodo 3618 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 -
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7240 2010.01.15 Win32/TDSS!packed
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.17 Suspicious:W32/Malware!Gemini
Fortinet 4.0.14.0 2010.01.18 W32/FraudLoad.WXPM!tr.dldr
GData 19 2010.01.17 -
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.17 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 Trojan-Downloader.Win32.FraudLoad.wxpm
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 Artemis!539CB42F77AD
McAfee-GW-Edition 6.8.5 2010.01.17 Trojan.Dldr.FraudLoad.wxpm
Microsoft 1.5302 2010.01.17 -
NOD32 4780 2010.01.17 -
Norman 6.04.03 2010.01.17 -
nProtect 2009.1.8.0 2010.01.17 -
Panda 10.0.2.2 2010.01.17 Suspicious file
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 High Risk Cloaked Malware
Rising 22.31.00.01 2010.01.18 -
Sophos 4.49.0 2010.01.18 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.17 Trojan.Win32.Generic!SB.0
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 Trojan/Downloader.FraudLoad.wxpm
TrendMicro 9.120.0.1004 2010.01.17 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.16.2140 2010.01.16 -
VirusBuster 5.0.21.0 2010.01.17 -
weitere Informationen
File size: 712704 bytes
MD5 : 539cb42f77adb4614347e43ca79537fd
SHA1 : 2cc54fc9806ef0da921a2a05e280b67d623bb08e
SHA256: 4d4319c6aeeec749a25cc7388b347312f002f5b75eea6c694de606cf2616b9c0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4B518A51 (Sat Jan 16 10:43:45 2010)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x1400 4.30 ad77ef32ca8049f0f15dc5310e66bf84
.rdata 0x3000 0xA2000 0x1000 2.91 80c12caee61ac6a62003ba45583ab09c
.data 0xA5000 0xAA000 0xAA000 8.00 2d66dccc95b997f98522675883eb4f3e
.idata 0x14F000 0x1000 0x1000 0.51 7742140b747a2d31664a893f148f6b20
.rsrc 0x150000 0x5C0 0x1000 4.25 1a74ec1b35b3e74ea123924162950a76

( 3 imports )

> kernel32.dll: SetPriorityClass, GetCommandLineA, SetCommMask, VirtualProtect, ExitProcess
> shell32.dll: StrChrA
> user32.dll: GetWindowTextA, GetWindow

( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ssdeep: 12288:AadqGMHW9sJ3e7J3ltz8TRv9rYzblpUDH64PyZRI8I+zKzVF0sdypnhv:AaYZWqJE338NuM64P0R52v0Synv
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=A702D6F200ACB26FE0620A0288C93700D05CA63B
PEiD : -
RDS : NSRL Reference Data Set


++


Datei b88b5ea1f59892f30e6c7626f0b1c5b5 empfangen 2010.01.16 19:50:08 (UTC)
Status: Beendet
Ergebnis: 7/41 (17.07%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.16 -
AhnLab-V3 5.0.0.2 2010.01.16 -
AntiVir 7.9.1.142 2010.01.16 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.16 -
AVG 9.0.0.730 2010.01.16 -
BitDefender 7.2 2010.01.16 Gen:Trojan.Heur.Iu0@v9Qzbajkx
CAT-QuickHeal 10.00 2010.01.16 -
ClamAV 0.94.1 2010.01.16 -
Comodo 3605 2010.01.16 -
DrWeb 5.0.1.12222 2010.01.16 -
eSafe 7.0.17.0 2010.01.14 -
eTrust-Vet 35.2.7240 2010.01.15 Win32/TDSS!packed
F-Prot 4.5.1.85 2010.01.16 -
F-Secure 9.0.15370.0 2010.01.16 Gen:Trojan.Heur.Iu0@v9Qzbajkx
Fortinet 4.0.14.0 2010.01.16 -
GData 19 2010.01.16 Gen:Trojan.Heur.Iu0@v9Qzbajkx
Ikarus T3.1.1.80.0 2010.01.16 -
Jiangmin 13.0.900 2010.01.16 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.16 -
McAfee 5863 2010.01.16 -
McAfee+Artemis 5863 2010.01.16 Artemis!B88B5EA1F598
McAfee-GW-Edition 6.8.5 2010.01.16 -
Microsoft 1.5302 2010.01.16 -
NOD32 4778 2010.01.16 -
Norman 6.04.03 2010.01.16 -
nProtect 2009.1.8.0 2010.01.16 -
Panda 10.0.2.2 2010.01.16 Suspicious file
PCTools 7.0.3.5 2010.01.16 -
Prevx 3.0 2010.01.16 -
Rising 22.30.05.03 2010.01.16 -
Sophos 4.49.0 2010.01.16 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2010.01.16 -
Symantec 20091.2.0.41 2010.01.16 -
TheHacker 6.5.0.5.153 2010.01.16 -
TrendMicro 9.120.0.1004 2010.01.16 -
VBA32 3.12.12.1 2010.01.15 -
ViRobot 2010.1.16.2140 2010.01.16 -
VirusBuster 5.0.21.0 2010.01.16 -
weitere Informationen
File size: 558592 bytes
MD5 : b88b5ea1f59892f30e6c7626f0b1c5b5
SHA1 : acb4480de9b34af5011fee99b7c38f3798ff811b
SHA256: f2929c661d6bf6e4d84aef68c65bc8ee4507e825bcc0733653289de449739e93
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4B518A1F (Sat Jan 16 10:42:55 2010)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x1400 4.36 5bbba7224ec3272f7f0e7a790f790c7d
.rdata 0x3000 0xBE000 0x1000 3.02 71853ce7960eac1072f86d55c6ca6812
.data 0xC1000 0x81000 0x7FE00 8.00 6fec65e7a069eec935ff36298bea07c5
.idata 0x142000 0x1000 0x600 1.17 a269984d2ef554f1f3b201bd2da4f3e5
.rsrc 0x143000 0x7000 0x6E00 4.48 7548f7812679951b029090177f10b68a

( 3 imports )

> kernel32.dll: SetPriorityClass, GetCommandLineA, SetCommMask, VirtualProtect, ExitProcess
> shell32.dll: StrChrA
> user32.dll: GetWindowTextA, GetWindow

( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ssdeep: 12288:vZXOjW8pjDtspvxxDzV56kNi3UL0h24AU4Z6PEM7oDKaR:YVjyDJQkN8hlCZ6Pp7oD
PEiD : -
RDS : NSRL Reference Data Set




Gmer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-18 21:11:59
Windows 5.1.2600 Service Pack 3
Running: x8kgp596.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\fgtdqpob.sys


---- System - GMER 1.0.15 ----

Code 86B6F5E8 ZwEnumerateKey
Code 86B73688 ZwFlushInstructionCache
Code 86B6B7EE IofCallDriver
Code 86B658DE IofCompleteRequest

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86F671F8
Device \FileSystem\Fastfat \Fat 868B9500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTxjiottapul.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----



Soo, habe nun alles wie beschrieben durchgeführt (danke schonmal!), nur der Avenger lässt sich nicht downloaden...

Hi,

ich muss Dich an der Stelle warnen, es kann zu Problemen kommen. In einem anderen Fall lies sich das System nicht mehr booten, die Kombination von Malware war fast die gleiche...

Versuche vorher auf alle Fälle ein RSIT-Log zu erstellen und zu posten, ich habe bezüglich der nicht bootenden Systeme einen Verdacht (das würde uns ggf. die Wiederherstellung erleichtern)...

Lade Avenger darüber runter:
http://www.file-upload.net/download-...er_le.exe.html

Nimm in das Avengerscript noch folgende Zeile (neben den beiden Files) auf:

Folders to delete:
C:\DOKUME~1\Besitzer\LOKALE~1\Temp
C:\Programme\Malware Defense

Das Ganze sollte dann so aussehen:
Nach Avenger gleich MAM loslassen, wenn es Problem gibt im abgesicherten Modus (F8 beim Booten).

chris

RSIT


so, getan. avenger auch runtergeladen, Problem -> mam zwar runtergeladen, lässt sich aber nicht öffnen, deshalb habe ich das mit dem avenger auch noch nicht ausgeführt...?!

Hi,

Kopfzerbrechen bereitet mir die C:\DOKUME~1\Besitzer\LOKALE~1\Temp\winhlp64.exe, da ich nicht erkennen kann wo sie gestartet wird, daher zuerst noch:

Fleckmann:
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Avenger muss vorher ausgeführt werden, da er die Malware entfernt, die den Start von MAM behindert...
Du kannst auch folgendes probieren:
Gehe in das Verzeichnis wo Du MAM installierst hast, nenne die EXE (mbam.exe) auf z. B. test.exe um und starte die dann per Doppelklick...

chris

sooo, Avenger und MAM ausgeführt im abgesicherten Modus. jetzt scheint alles normal, Antivir funktioniert wieder!


edit: ich merke gerade, ich habe die falsche log abgespeichert -.- bei der letzten stand da jedenfalls quaranted and deleted oder sowas ähnliches an der Stelle von 'no action taken'

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510

meins
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3620

Updaten und nochmal scannen

hab ich getan

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu


ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht

http://www.imgdumper.nl/uploads2/4b5...4719a-cofi.jpg

Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung