Hi, ich bin neu im Forum und habe mir wohl einen Virus eingefangen,

laut AntiVir Guard handelt es sich um "das Trojanische Pferd TR/TDss.anuv".

Die zugehörige infizierte Datei trägt folgenden Pfad und Namen:

C:\Windows\System32\SKYNETdccvroqx.dll

Die Meldung taucht in Intervallen von 2Sekunden bis 3Minuten auf. Bei höherer Aktivität (Programme oder Fenster öffnen) häufiger. "Löschen", "Quarantäne" oder "Zugriff verweigern" zeigen keine Wirkung.

Habe auf eigene Faust mit "Malwarebytes' Anti-Malware" zunächst einen vollständigen Scan durchgeführt. Da dieser sich aber "aufhing" ("Keine Rückmeldung"), probierte ich es mit einem Quickscan, der scheinbar auch einige Dateien gelöscht haben soll.

Nach der Anmeldung im Forum habe ich dann den CCleaner durchlaufen lassen und nochmals Anti-Malware (Kompletter Scan). Diesmal nur noch einen Fund beim durchlaufen der gesammten C-Festplatte. Meine D-Partition ist noch unbenutzt und bei der Recovery-Partition, genauer bei "E:\Windows\System32\Com\MigRegDB.exe" war Anti-Malware erneut "ohne Rückmeldung", sodass ich es erneut schließen musste. Daher habe ich leider keinen logfile o.ä. erhalten.

Daraufhin habe ich dann noch RSIT gestartet und folgende Dateien erhalten:

*** wegen "Zeichenanzahl überschritten" im nächsten Beitrag ***

Zum Schluss noch meine Systemdaten:

Code: Alles auswählenAufklappen

ATTFilter

Betriebssystemname	Microsoft® Windows Vista™ Home Premium
Version	6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung 	Nicht verfügbar
Betriebssystemhersteller	Microsoft Corporation
Systemname	XXXXXX
Systemhersteller	Dell Inc.
Systemmodell	Inspiron 531
Systemtyp	X86-basierter PC
Prozessor	AMD Athlon(tm) 64 X2 Dual Core Processor 5600+, 2812 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum	Dell Inc. 1.0.3, 2007-06-15
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\Windows
Systemverzeichnis	C:\Windows\system32
Startgerät	\Device\HarddiskVolume3
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "6.0.6001.18000"
Benutzername	XXXXXX\XXX
Zeitzone	Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM)	2.00 GB
Gesamter realer Speicher	2.00 GB
Verfügbarer realer Speicher	862 MB
Gesamter virtueller Speicher	4.23 GB
Verfügbarer virtueller Speicher	2.68 GB
Größe der Auslagerungsdatei	2.29 GB
Auslagerungsdatei	C:\pagefile.sys
         

Ich hoffe ihr könnt damit irgendetwas anfangen und bedanke mich schonmal bei allen, die mir Hilfe und Lösungen anbieten können.

MfG
treee

Hi,

das ist ein bekanntes Rootkit...

So, dann wollen wir mal...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Dann noch:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Was ist ein rootkit?
Tut mir leid, aber die logs sind zu lang,

"Der Text, den Sie eingegeben haben, besteht aus 26176 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen."

gibt es eine Alternative diese hochzuladen?

MfG
treee

[EDIT:]
Wie bereits erwähnt, habe ich schon einen RSIT log- und info-file, weiß aber nicht wie ich diese hier ins Forum bekomme, ohne die Zeichenlänge zu überschreiten.

Malwarebytes' Anti-Malware hängt sich an bereits erwähnter Stelle immer auf, also "Keine Rückmeldung", und damit auch keinen Log-File.

*mal reinhüpf*

Rootkit
Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem installiert werden, um Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden – generell gesagt: sich unsichtbar zu machen. Sie versuchen bereits installierte Spionageprogramme zu aktualisieren und gelöschte Spyware erneut zu installieren.

*raushüpf & gruß an Chris *

Hi,

ein Rootkit verankert sich sehr tief im Betriebssystem (Treiberebene) oder wird sogar noch vor Windows selbst gestartet (MBR-Rootkit). Dann kontrolliert es alle Schreib-/Lesevorgänge und blendet seine eigenen Dateien aus, d.h. sie sind nicht über Windows (Explorer etc.) zu finden. Wenn ein Scanner sich also auf die Windowsfunktionen verlässt, wird das Rootkit nicht gefunden und verrichtet seine zweifelhaften Dienste weiterhin unerkannt "im dunklen" ;o)...

Entweder aufteilen in mehrere Post oder:
Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

PN hab ich gesendet
Lösungsvorschläge zu meinem MAM-Problem?

Hi,

halte Dich an das beschrieben Vorgehensmodell, erst Combofix ausführen, der hebelt normalerweise das Rootkit (das auch den Start von MAM verhindert) aus, danach sollte MAM lauffähig sein, sonst müssen wir noch mal mit GMER nachschauen!

chris

Alle Punkte erfüllt.
AntiVir Guard meldet keine Viren mehr.
Log-Files wegen Überlänge wieder als PN versand.

Vielen Dank schonmal.

Ist der Trojaner zerstört oder welche weiteren Schritte sind nötig?

MfG
treee

Hi,

lt. Log stimmt was mit der Registry nicht, da stehen Backups die nach erfolgreichem Abschluss (Änderungen an der Reg.) nicht da stehen sollten...
Regisrty noch mal bitte mit CCleaner prüfen!

Der Skynetrootkit wurde entsorgt...

Diese Datei bitte mal bei Virustotal prüfen lassen:
C:\PROGRA~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
Ergebnis posten, sollte aber OK sein......

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Hattest/Hast Du McAfee auf dem Rechner?

chris

CCleaner hab ich nochmal durchlaufen lassen.

VirusTotal:
Datei GoogleDesktopNetwork3.dll empfangen 2009.08.26 09:34:23 (UTC)
Status:Beendet
Ergebnis: 0/41 (0%)

McAffee hatte ich ganz am Anfang mald rauf aber dann ist die Version abgelaufen und ich hab AntiVir draufgemacht.

AntiVir Scan folgt

MfG
treee

AntiVir Scan (2 Funde)

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2009-08-26  12:01

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 1)  [6.0.6001]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : xxxxxx

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  2009-07-29 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  2009-07-21 12:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  2009-02-13 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  2009-02-20 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  2009-01-26 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  2008-10-27 11:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  2009-06-24 08:21:42
ANTIVIR2.VDF   : 7.1.4.253   1779200 Bytes  2009-07-19 21:08:01
ANTIVIR3.VDF   : 7.1.5.19     139776 Bytes  2009-07-23 06:36:13
Engineversion  : 8.2.0.228
AEVDF.DLL      : 8.1.1.1      106868 Bytes  2009-07-28 12:17:15
AESCRIPT.DLL   : 8.1.2.18     442746 Bytes  2009-07-23 08:59:39
AESCN.DLL      : 8.1.2.4      127348 Bytes  2009-07-23 08:59:39
AERDL.DLL      : 8.1.2.4      430452 Bytes  2009-07-23 08:59:39
AEPACK.DLL     : 8.1.3.18     401783 Bytes  2009-07-28 12:17:14
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  2009-07-23 08:59:39
AEHEUR.DLL     : 8.1.0.143   1864055 Bytes  2009-07-23 08:59:39
AEHELP.DLL     : 8.1.5.3      233846 Bytes  2009-07-23 08:59:39
AEGEN.DLL      : 8.1.1.50     352629 Bytes  2009-07-23 08:59:39
AEEMU.DLL      : 8.1.0.9      393588 Bytes  2008-10-09 13:32:40
AECORE.DLL     : 8.1.7.6      184694 Bytes  2009-07-23 08:59:39
AEBB.DLL       : 8.1.0.3       53618 Bytes  2008-10-09 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  2008-12-12 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  2008-12-03 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  2009-01-20 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  2008-11-07 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  2009-03-24 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  2009-01-30 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  2009-01-28 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  2009-02-02 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  2008-11-07 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  2009-05-15 14:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  2009-04-17 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: 2009-08-26  12:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '127953' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxMediaDB9.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxWatch9.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S40RP7.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '64' Prozesse mit '64' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\SKYNETxtqppvrn.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Killav.28714
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_SKYNETxtqppvrn_.sys.zip
  [0] Archivtyp: ZIP
    --> SKYNETxtqppvrn.sys
      [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Windows\System32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <DATAPART1>
Beginne mit der Suche in 'E:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\Windows\System32\drivers\SKYNETxtqppvrn.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Killav.28714
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aee1e0f.qua' verschoben!
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_SKYNETxtqppvrn_.sys.zip
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae01e17.qua' verschoben!


Ende des Suchlaufs: 2009-08-26  13:34
Benötigte Zeit:  1:07:56 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  30420 Verzeichnisse wurden überprüft
 583409 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 583404 Dateien ohne Befall
   2793 Archive wurden durchsucht
      3 Warnungen
      4 Hinweise
 127953 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Hi,

das sieht gut aus, die Funde sind die Backupdateien von ComboFix (von dem Skynetrootkit)...

Deinstalliere ComboFix (wird jeden Tag neu gebaut) über Start->Ausführen combofix /u.

Danach Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


Bei Gelegenheit mal auf das SP2 von Vista updaten...

chris

Alles klar

meinen herzlichsten Dank, hast du noch irgendwelche Ratschläge wie ich mich zukünftig ebsser schützen kann? Ist Avira AntiVir das beste Freeware-Programm? Sind eventuell zusätzliche Programme hilfreich?

MfG
treee

Hi,

auf XP kombiniere ich Avira mit einem Behaviour-Scanner (Threadfire, free Edition: http://www.threatfire.com/de/download/prev.aspx).

Firefox mit WOT und NoScript-Plugin nutzen sowie ein eigenes, eingeschränktes Nutzerkonto zum Surfen anlegen (das keine Adminrechte hat, damit wird normalerweise max. nur das Konto verseucht, dann Konto löschen und das wars dann)...

Der beste Schutz ist allerdings: Hirn beim Surfen, Email-Anhänge öffnen etc. einschalten, Tauschbörsen/Cracks etc. meiden...

chris

Okay Danke, dann kann der Threat geschlossen werden.