Hei!

Ich gehe davon aus, daß Du den TDSSKiller meinst?
Was ist eigentlich mit den Fünden bei eset? Soll ich da schon was unternehmen?

Ja TDSS-Killer. Die Funde von ESET kann ich noch nicht richtig einordnen, abgesehen davon kann das Log nicht vollständig sein, warum hast du es bis auf die Funde reduziert?

Die Funde vom TDSS-Killer bitte entfernen

Ok!
Und danach noch irgendeinen Scan laufen lassen?

Erstmal will ich das Log dazu sehen

Nun, ich habe die Funde sicherheitshalber nicht richtig löschen lassen, sondern sie nur in die Quarantäne kopiert , um zu prüfen, ob das System noch stabil bleibt. Ich hoffe es ist trotzdem ausreichend ... mich irritiert das "COPY to quarantine" etwas.
Nachfolgend das Log.

Schöne Grüße

Komischerweise war es so, wie vermutet, daß die Einträge durch "copy to..." nicht entfernt und weiterhin gefunden wurden.
Habe sie also jetzt richtig gelöscht, neugestartet und somit erhälst du hier die Logs vor und nach dem Neustart.

editierter Beitrag

Sorry für den Doppel-Post. Ich konnte den anderen Beitrag nicht mehr löschen.

Ich war gerade dabei CF auszuführen und habe vorher alle ersichtlichen AntiVir-Prozesse über den TM beendet. Trotzdem kam die Warnung, daß AntiVir noch aktiv sei. Habe dann die Prozesse über services.msc beendet und CF bestätigt.
Leider kam erneut diese Meldung

antivirus Avira AntiVir PersonalEdition Classic
antivirus Avira AntiVir PersonalEdition Classic
antivirus Avira AntiVir PersonalEdition Classic

Die obigen Real-Time-Scanner sind immer noch aktiv aber Combofix wird trotzdem mit dem Suchlauf fortfahren...
Ich habe es also trotzdem ausgeführt, da ich nicht wußte, wo ich noch AntiVir beenden könnte.
Und diese Log im Anhang folgte darauf.

Ist es eigentlich normal, daß bei CF Antivir dreimal angezeigt wird? Sonst sollte ich das Programm vielleicht sowieso mal neu installieren.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-06.03 - *** 06.10.2011  18:27:09.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1618 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: BitDefender 8.0 Professional Plus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender 8.0 Professional Plus *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\***\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_WSCM
-------\Service_WSCM
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-06 bis 2011-10-06  ))))))))))))))))))))))))))))))
.
.
2011-10-06 14:19 . 2011-10-06 14:19	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-10-02 19:30 . 2011-10-02 19:30	--------	d-----w-	C:\_OTL
2011-09-26 15:12 . 2011-09-26 15:12	--------	d-----w-	c:\programme\RegCleaner
2011-09-26 15:04 . 2011-09-30 06:24	--------	d-----w-	c:\programme\Lavasoft
2011-09-22 22:32 . 2011-09-22 22:32	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\CheckPoint
2011-09-22 22:31 . 2011-09-22 22:56	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-09-22 22:31 . 2011-09-22 22:31	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2011-09-22 22:31 . 2011-09-22 22:31	--------	d-----w-	c:\programme\CheckPoint
2011-09-21 23:30 . 2011-09-21 23:30	--------	d-----w-	c:\programme\ESET
2011-09-20 23:11 . 2011-09-20 23:11	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-09-20 23:10 . 2011-09-20 23:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-09-20 23:10 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-09-10 23:11 . 2011-09-10 23:17	--------	d-----w-	c:\programme\SpywareBlaster
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-09 09:11 . 2001-08-18 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-08-16 10:02 . 2011-05-24 21:21	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-15 13:29 . 2001-08-18 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-10-05 14:27 . 2011-05-09 17:00	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2003-08-16 18:56	579584	--sha-r-	c:\windows\system32\cd.exe
2005-11-06 12:49	184618	--sha-r-	c:\windows\system32\patcher.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-05-07 281768]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-06 102400]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Play Wireless USB Adapter Utility.lnk - c:\programme\Belkin\F7D4101\V1\PBN.exe [2009-11-25 110592]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 21:49 136360]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [09.05.2011 17:46 10384]
R3 BCMH43XX;N+ Wireless USB Adapter Driver;c:\windows\system32\drivers\bcmwlhigh5.sys [06.11.2009 08:26 642432]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 WLANBelkinService;Belkin WLAN service;c:\programme\Belkin\F7D4101\V1\wlansrv.exe [28.12.2009 17:25 36864]
S3 fa664;fa664;\??\c:\windows\system32\fa664.sys --> c:\windows\system32\fa664.sys [?]
S3 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [18.08.2001 14:00 14336]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.01.2006 13:16 717296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
TCP: DhcpNameServer = 10.0.0.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y0gd2uqz.default\
FF - prefs.js: browser.search.selectedEngine - Heinzelnisse
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/webhp?hl=de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-CmPCIaudio - CMICNFG3.cpl
Notify-WgaLogon - (no file)
SafeBoot-30298517.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-10-06 18:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1844237615-1085031214-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:bf,6b,8b,c4,c7,8d,cc,89,80,e8,93,2e,1c,43,57,17,16,30,cc,45,4f,5b,62,
   08,97,cb,56,61,69,93,99,6e,e0,b9,b5,08,e7,ac,b9,e7,9c,2a,cf,ce,ad,3e,d7,6a,\
"??"=hex:a1,5e,47,db,25,65,bb,27,8b,92,55,34,10,3f,d9,49
.
[HKEY_USERS\S-1-5-21-1844237615-1085031214-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:29,0e,fb,12,af,1d,d6,b7,44,9b,44,1f,f8,df,7a,d0,5f,d3,7c,08,da,
   96,87,89,6c,c8,66,7b,fb,7a,0d,ca,a8,f3,0c,0d,1a,c7,2c,2b,e5,e5,f3,9e,db,fc,\
"rkeysecu"=hex:fc,c0,7e,17,05,7d,fc,b5,1a,af,54,29,89,3b,60,32
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\RunDll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-06  18:39:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-06 16:39
.
Vor Suchlauf: 8 Verzeichnis(se), 40.193.265.664 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 40.089.894.912 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer
[spybotsd]
timeout.old=30
.
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - AC92D8F2B4C855AF561A4B25E8D9DFC6
         

--- --- ---

Hallo und einen schönen Samstagnachmittag!

Ich habe das Script ausgeführt und hoffe, es ist so gelaufen, wie Du es wolltest.AntiVir ist noch installiert und wird auch wieder beim Neustart geladen, falls Du vorhattest es zu deinstallieren.

"copy to quarantine" bedeutet aber so eigentlich nur, dass es in die Quarantäne kopiert wird, sonst wird nichts weiter entfernt.

Vllt meinen die damit eher "move to quarantine", das wäre sinniger.

Mach bitte ein neues Log mit dem TDSS-Killer

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: BitDefender 8.0 Professional Plus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender 8.0 Professional Plus *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Was davon ist denn jetzt noch installiert? Nur Bitdefender?

AntiVir ist noch installiert, wurde aber eigentlich versucht vor dem CF-Scan zu deaktivieren.BitDefender ist ewig alt und wurde vor Jahren via Uninstall deinstalliert. Wie das halt so ist, bleibt immer irgendein Mist von den diversen Programmen übrig.Gleiches gilt auch für ZoneAlarm. Das hatte ich auf Deine Anweisung hin deinstalliert und auch seitdem nix Gegenteiliges unternommen.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

Seccenter::
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: BitDefender 8.0 Professional Plus *Disabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender 8.0 Professional Plus *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Folder::
c:\dokumente und einstellungen\***\Anwendungsdaten\CheckPoint
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit
c:\programme\CheckPoint

File::
c:\windows\system32\cd.exe
c:\windows\system32\patcher.exe
c:\windows\system32\fa664.sys

Driver::
fa664
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!