Hallöle Don.

Du müsstest aber wissen, dass das SP3 Pflicht für jede Hilfeleistung ist..

Deinstalliere bitte AdAware.

Überprüfe den Rechner dann mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Zitat:

Zitat von undoreal

Hallöle Don.

Du müsstest aber wissen, dass das SP3 Pflicht für jede Hilfeleistung ist..

Oh. Meinereiner ist BNU/Linux-User, deswegen ist mir die Existenz dieses Service Packs wohl mehr oder weniger entgangen.

Soll ich's gleich installieren oder erst, nachdem wir das Problem aufgespürt haben?

Wie dem auch sei, ich verfahr mal weiter nach deiner Anleitung...

(Danke übrigens für die schnelle Hilfe. )

Das SP3 solltest du so schnell wie möglich aufspielen.

SP3 ist jetzt drauf.

SUPERAntiSpyware stürzt immer nach ca. 8 1/2 Minuten (nie genau und nicht immer am selben Punkt) ab, deshalb da kein Log.

Malwarebytes ist durchgelaufen. Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

03:08:01 02.09.2008

mbam-log-09-02-2008 (03-08-01).txt



Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 105647

Laufzeit: 1 hour(s), 9 minute(s), 13 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 3

Infizierte Dateien: 7



Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)



Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.



Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\c:\programme\registrysmart\ (Rogue.RegistrySmart) -> Quarantined and deleted successfully.



Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdrxg.exe -> Quarantined and deleted successfully.



Infizierte Verzeichnisse:

C:\Programme\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.



Infizierte Dateien:

C:\Programme\Mozilla Firefox\components\MyComponent.dll (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\Programme\Mozilla Firefox\components\MyComponent.dll1 (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\Programme\Mozilla Thunderbird\.autoreg (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\Programme\Mozilla Thunderbird\components\MyComponent.dll (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\1072.dat (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log\2008 Feb 13 - 11_08_12 AM_885.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log\2008 Feb 13 - 11_08_22 AM_428.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
         

Lasse SUPERAntiSpyware im abgesicherten Modus durchlaufen...

Und ändere von einem sauberen PC aus alle Passwörter und Zugangsaccounts.

Hab SUPERAntiSpyware im Abgesicherten Modus durchlaufen lassen, das Problem bleibt aber das selbe: SASW stürzt nach einiger Zeit ab. Der Absturz passiert immer dann, wenn er irgendwelche Domainverzeichnisse unter "HKU" durchsucht.

Das ist kein gutes Zeichen. Dann verhindert da etwas gefunden zu werden.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!


GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.