Pc lahmt .Backdoor.ieboot,siszpe.exe und Malware gefunden und nun?
 

Hallo liebe Helfer/innen,

seit einigen Tagen lahmt mein Pc ohne Ende .Mein normales Avira Antivir hat der schon gar nicht mehr gestartet.

Ich habe nun schonmal den CCleaner und Malwarebytes drüber gejagt.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4213

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

18.06.2010 21:37:27
mbam-log-2010-06-18 (21-37-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136157
Laufzeit: 1 Stunde(n), 8 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\aaqcf.sys (Backdoor.IEbooot) -> Delete on reboot.
C:\Dokumente und Einstellungen\Candace & Jaymee\Desktop\Gemischtes\Autostart\siszpe32.exe (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Candace & Jaymee\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.



UND HIER DER VON RSIT:

Logfile of random's system information tool 1.07 (written by random/random)
Run by Candace & Jaymee at 2010-06-18 22:13:36
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 103 GB (67%) free of 153 GB
Total RAM: 1151 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:14:25, on 18.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Dokumente und Einstellungen\Candace & Jaymee\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe


Hoffe ihr könnt mir helfen


Vielen Dank

Sandra

so Bericht ist da :)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4213

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

18.06.2010 21:37:27
mbam-log-2010-06-18 (21-37-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136157
Laufzeit: 1 Stunde(n), 8 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\aaqcf.sys (Backdoor.IEbooot) -> Delete on reboot.
C:\Dokumente und Einstellungen\Candace & Jaymee\Desktop\Gemischtes\Autostart\siszpe32.exe (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Candace & Jaymee\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.



UND HIER DER VON RSIT:

Logfile of random's system information tool 1.07 (written by random/random)
Run by Candace & Jaymee at 2010-06-18 22:13:36
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 103 GB (67%) free of 153 GB
Total RAM: 1151 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:14:25, on 18.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Dokumente und Einstellungen\Candace & Jaymee\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe

Hallo und :hallo:

Probier jetzt mal wegen des Rootkitfundes Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führt nur OSAM aus.

Hallo .Schonmal Danke ,dass du dich meiner annimmst,denn ich habe keinen blassen schimmer von dem ganzen.

Wie du es schon geschrieben hast wollte der GMER nicht wirklich ,hat gescant und gescant und irgendwann Stillstand.Nach dem 2. Mal habe ich das OSAM drüber scannen lassen.Hier der/die/das log ;-)(für mich bömische Wälder )

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Bitte mit OSAM deaktivieren und löschen (delete from storage)
Mach danach einen Vollscan mit Malwarebytes, denk dran es vorher zu aktualisieren.

Hatte OSAM nochmal drüber gejagt und das von dir zitierte nicht gefunden (oder ich bin einfach zu doof dazu;) ).Hier der log:

OSAM Logfile:
--- --- ---

Danach habe ich dann den Vollscan mit Malwarebytes gemacht.
Hier der Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4218

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

20.06.2010 18:40:41
mbam-log-2010-06-20 (18-40-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 213780
Laufzeit: 1 Stunde(n), 30 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


heisst das jetzt ich habe alles runter???

Ich habe da 2 sachen bei Antivir in Quarantäne,kann ich das einfach so löschen ??

Mach bitte jetzt einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok ,das habe ich gemacht.Hier die für mich bömischen Wälder:


Combofix Logfile:
--- --- ---

Hallo Cosinos,
magst du mal über das Combofix log gucken und mir sagen ob nun alles OK ist.Ich habe da ja keinen blassen Schimmer von.

Das wäre echt lieb von dir .

Vielen lieben Dank :dankeschoen:

Sandra

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo und vielen Dank für Deine Hilfe;)
Hier die Log Dateien:

Combofix Logfile:
--- --- ---

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Schonmal vielen vielen Dank für Deine Hilfe.Ohne Dich wäre ich aufgeschmissen gewesen:dankeschoen:

Hier die Logs:



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4218

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

24.06.2010 15:23:58
mbam-log-2010-06-24 (15-23-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 216147
Laufzeit: 1 Stunde(n), 34 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/24/2010 at 05:02 PM

Application Version : 4.39.1002

Core Rules Database Version : 5113
Trace Rules Database Version: 2925

Scan type : Complete Scan
Total Scan Time : 01:20:10

Memory items scanned : 539
Memory threats detected : 0
Registry items scanned : 7606
Registry threats detected : 0
File items scanned : 88358
File threats detected : 23

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@ad.adnet[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@doubleclick[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@ad.hospitalscout[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@atwola[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@atdmt[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@serving-sys[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@traffictrack[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@track.effiliation[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@ads.wwe[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@invitemedia[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@track.effiliation[3].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@adtech[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@2o7[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@zanox[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Candace & Jaymee\Cookies\candace_&_jaymee@www.googleadservices[1].txt




:dankeschoen:

Lieben Gruß Sandra

Du hast Malwarebytes vorher nicht aktualisiert. Bitte die Datenbanken updaten und den Vollscan wiederholen.