Hi,

kansnt Du das Log posten (alles was infected ist)?
Waren die beiden search*.exe-Dateien darunter?

Lass Hitman nochmal von der Leine, ob er noch was meldet...

chris

Zitat:

kansnt Du das Log posten (alles was infected ist)?

Sorry, vergessen ...

Zitat:

Waren die beiden search*.exe-Dateien darunter?

Ja.
Habe sie darüber hinaus vorsorglich in den Papierkorb verschoben.

Zitat:

Lass Hitman nochmal von der Leine, ob er noch was meldet...

Findet rein gar nichts mehr.

Hi,

leider fehlen in dem Log die CR+LF, aber was ich so erkennen konnte, ist das praktisch Avira komplett verseucht wurde, die Dateien die wir gefunden haben...die Systemwiederherstellung... ein Backdoor war auch dabei (alle Passwörter von einem sauberen Rechner aus ändern)... und der liebe Rootkit.. empfehle Neuaufsetzen...

Einige Sachen wurden auf cured gesetzt, ist die Frage ob sie wirklich gelöscht wurden...

Lade Dir eine neue Version von ComboFix runter und lass den bitte nochmal laufen...

chris

Zitat:

leider fehlen in dem Log die CR+LF

Hab ich auch schon bemerkt; Log ist so von Dr. Web erstellt worden ...

Zitat:

Avira komplett verseucht wurde

Ist bereits gelöscht.

Zitat:

Einige Sachen wurden auf cured gesetzt, ist die Frage ob sie wirklich gelöscht wurden...

Habe die Voreinstellung des Programms nicht verändert. War das falsch?

CF.log im Anhang. Ist sie ok?

Hi,

da hamma ihn wieder:

Zitat:

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^0.7731218774122423.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\0.7731218774122423.exe.lnk
backup=c:\windows\pss\0.7731218774122423.exe.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^0.8207306309362474.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\0.8207306309362474.exe.lnk
backup=c:\windows\pss\0.8207306309362474.exe.lnkStartup

Schau mal ob Du ihn im Startmenü/Autostart findest, es sollten nur die Links sein, die eigentliche EXE müsste schon über die "wupper" sein, dann löschen...
Gehe jetzt mal Abendmampfen...

chris

Guten Hunger!

Ich glaube nicht, dass davon noch eine Gefahr ausgeht. Wusste erst nicht, wo ich suchen sollte. Habe dann gesehen, dass die Registry-Eintrage im Zusammenhang mit 2 gestern mittels MSconfig deaktivierten Einträgen stehen. Die Links selber habe ich unter \windows\pss gefunden und gelöscht.

Sind weitere Scans vonnöten? Oder kann ich mich jetzt ans Absichern machen? Erbitte ggf. Empfehlungen.

Hi,

sollte nun ok sein, kannst mit der Absicherung anfangen ...

chris

Hallo Chris,

vielen Dank für die Hilfe. Wünsche Dir und dem ganzen Team einen guten Rutsch und ein "schädlingsfreies" neues Jahr.

Gruß Riddle