Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Zitat:

Zitat von BataAlexander

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

hallo bataalexander.

habe das programm jetzt durchlaufen lassen. Mit der Frage ob der PC neu gestartet werden soll, habe ich zugelassen. Nach dem der rechner hochgefahren ist zeigt mir AntiVir einen Trojaner TR/Trash.Gen. Soll ich das Programm noch einmal durchlaufen lassen?

Gruß Lothar

NEIN, poste das Logfile.

Sorry.
Du weisst ich bin totaler Laie. Wie mache ich das? Weil, ich sehe gerade nur den Hintergrundbildschirm mit dem Fund von AntiVir

Löschen wählen, dann Windows starten lassen.
Das Logfile liegt unter C:\Combofix.

Hier siehst du die Logdatei.


ComboFix 08-02.05.3 - xxx 2008-02-05 0:48:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.280 [GMT -12:00]
ausgeführt von:: F:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtsqop.dll
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\Helper
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\awtsqop.dll
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_LDRSVC
-------\LEGACY_NTMLSVC
-------\LEGACY_RUNTIME
-------\ldrsvc
-------\NdisWon
-------\NtmlSvc
-------\runtime


((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 ))))))))))))))))))))))))))))))
.

2008-02-04 09:41 . 2008-02-04 09:41 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-04 08:25 . 2008-02-04 14:29 <DIR> d-------- C:\VundoFix Backups
2008-02-04 00:43 . 2008-02-04 00:43 262,160 --a------ C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\setup_de[1].exe
2008-02-03 09:43 . 2008-02-03 09:43 5,624 --a------ C:\ovvigdvr.exe
2008-02-03 09:41 . 2008-02-03 09:43 2 --a------ C:\546785970
2008-02-03 09:37 . 2008-02-03 09:37 25,472 --a------ C:\WINDOWS\system32\drivers\Tye30.sys
2008-02-03 09:20 . 2008-02-03 09:20 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FFSJ
2008-02-01 02:29 . 2008-02-01 02:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-02-01 02:27 . 2008-02-01 02:27 <DIR> d-------- C:\Programme\SlySoft
2008-02-01 02:27 . 2008-02-01 02:29 24 --ahs---- C:\WINDOWS\SAA661174.tmp
2008-02-01 02:25 . 2008-02-03 09:40 <DIR> d-------- C:\Programme\Xilisoft
2008-02-01 02:25 . 2008-02-01 02:25 <DIR> d-------- C:\Programme\QuickTime
2008-01-28 07:28 . 2008-01-28 07:28 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\STOIK
2008-01-28 07:18 . 2008-01-28 07:20 <DIR> d-------- C:\Movavi files
2008-01-28 07:15 . 2008-01-28 07:22 42 --a------ C:\WINDOWS\IniFile1.ini
2008-01-24 10:51 . 2008-01-24 10:51 <DIR> d-------- C:\Programme\DivX
2008-01-24 02:31 . 2008-01-24 02:31 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Splitter
2008-01-22 06:13 . 2008-01-22 06:13 <DIR> d-------- C:\Programme\Microsoft Silverlight
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d-------- C:\WINDOWS\system32\windows media
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d-------- C:\Programme\Windows Media-Komponenten
2008-01-05 21:40 . 2008-01-05 21:40 161 --a------ C:\WINDOWS\wininit.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 02:21 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2008-02-03 21:56 --------- d-----w C:\Programme\Pinnacle
2008-02-03 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-21 18:55 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\saveTV
2008-01-17 18:48 --------- d-----w C:\Programme\ICQ6
2008-01-12 19:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-01-06 09:40 --------- d-----w C:\Programme\Google
2008-01-06 09:37 --------- d-----w C:\Programme\Paint.NET
2008-01-04 06:26 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-01-01 03:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-12-31 00:06 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\NeroVision
2007-12-30 09:59 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BitTorrent
2007-12-26 20:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-20 17:50 --------- d-----w C:\Programme\Ahead
2007-12-05 06:44 --------- d-----w C:\Programme\WinFast
2007-12-05 06:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-07-08 17:26 404 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3675c430-eb4a-4921-b94c-2c193f35e67a}]
C:\WINDOWS\system32\jlrkfcsr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [2004-10-13 04:24 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"IW_Drop_Icon"="C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2004-07-30 15:10 1123840]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-25 13:07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 14:37 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-08 21:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-11-25 03:36 1232946]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 10:51 57344]
"emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINDOWS\emMON.exe]
"NI.UGESU_0001_N122M2811"="c:\dokumente und einstellungen\xxx\anwendungsdaten\setup_de[1].exe" [2008-02-04 00:43 262160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-04 00:57 401408 C:\WINDOWS\system32\cmd.exe]
"nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2004-08-03 12:57 102400]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 12:38 44544]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\awtsq

R0 Tye30;Tye30;C:\WINDOWS\system32\Drivers\Tye30.sys [2008-02-03 09:37]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2004-09-01 14:50]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2005-02-10 11:55]
S1 fnhoje;fnhoje;C:\WINDOWS\system32\fnhoje []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" []
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]
S3 WFIOCTL;WFIOCTL;C:\Programme\WinFast\WFTVFM\WFIOCTL.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 23:55:34 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-02 03:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 01:05:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-05 1:07:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-05 13:06:56
.
2008-01-18 18:38:42 --- E O F ---

Ich habe gerade den Rechner neu gestartet und er zeigt mir keinen Fund mehr an. Liege ich nun richtig in der Annahme, dass der Rechner Virenfrei ist?

Wenn ja, dann bist du der Grösste für mich.

Dein Rechner ist durch mindestens einen Backdoor befallen.
An diesem Punkt würde ich den Rechner neu installieren.
Zu Backupzwecken kann man aber versuchen den Rechner zu säubern.