Hallo,
bin ich froh, eure Seiten gefunden zu haben. Habe vorher auf Google gesucht und ausprobiert - nichts hat echt geholfen. Nun habe ich noch einige Fragen.

Also, habe mir vor 2 Tagen die Malware System Antivirus 2008 eingefangen. Durch eure Tips hier habe ich Malwarebytes Anti-Malware installiert. Der hat einiges gefunden und in Quarantäne verschoben. 1. Frage: kann ich die Trojaner von dort einfach löschen?????
Außerdem benutze ich Avira AntivirPremium mit Lizenz. Der ebf. Trojaner fand und in Quarantäne verschob; TR/Dldr.FrauLoad.49156 und 97284 wie TR/FakeAV.Ad.16
Von dort wurden sie überschrieben und gelöscht. 2. Frage: Aber sind sie wirklch weg?
Als Firewall: ZoneAlarm Antispyware mit Lizenz. Der hat ebf. etwas in Qurantäne genommen.

3. Frage: Laut Scanreport durch Avira, den Malwarebytes Anti-Malware ist das System sauber. Habe ein ungutes Gefühl und bin total unsicher, hoffe auf eure Hilfe*

Mein PC: Fujitsu Siemens mit AMD Prozessor +3000
1.8 Gherz, 1,21 Ram
MS Windows XP Home Version 2002
SP 3
Browser: Firefox 3.1

Großes Danke vorab!!!

Hallo und

Poste bitte die Logs von Malwarebytes (als es was gefunden hatte) und das von Avira.

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight ausführen, Logfile posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo root24*
danke für die vielen Anweisungen, um das System zu bereinigen. Habe einen teil davon abgearbeitet und hoffe, daß ich nun beim Zusenden der Lofiles alles richtig mache. Sowas habe ich noch nie getan.

Avira AntivirPremium vom 31.8.09
(code)Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Sonntag, 31. August 2008 16:32

Es wird nach 1583963 Virenstämmen gesucht.

Lizenznehmer: *
Seriennummer: *
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: *

Versionsinformationen:
BUILD.DAT : 8.1.0.367 20012 Bytes 12.08.2008 11:28:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 16:32:05
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 16:32:05
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 16:32:05
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 16:32:05
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:00:19
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 17:01:33
ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 20:38:57
ANTIVIR3.VDF : 7.0.6.93 209920 Bytes 30.08.2008 20:53:31
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 11:40:58
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 17:56:13
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 17:47:52
AERDL.DLL : 8.1.0.20 418165 Bytes 28.04.2008 01:22:09
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 17:47:51
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 17:56:12
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 17:56:12
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 14:49:44
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:56:09
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 02:20:53
AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 02:20:52
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 11:40:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 16:32:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 16:32:05
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 02:20:51
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 16:32:05
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 11:40:58
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 16:32:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 11:40:58
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 16:32:05
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 11:40:58
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 17.07.2008 16:31:56
RCTEXT.DLL : 8.0.51.0 90369 Bytes 17.07.2008 16:31:56

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 31. August 2008 16:32

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium\TEMP\AVSCAN-20080831-163157-3EC82BCE\AVSCAN-00000002.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium\TEMP\AVSCAN-20080831-163157-3EC82BCE\AVSCAN-00000002.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Clbd.JG
c:\windows\system32\tdssadw.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492dac35.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssinit.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492dac36.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssl.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c3a9baf.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdsslog.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492dac37.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssmain.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492dac38.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssserf.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c3002f9.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssservers.dat
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c327a41.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\tdssserv.sys
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c0c5209.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Safeboot\Minimal\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Safeboot\Network\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Safeboot\Minimal\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Safeboot\Network\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '58233' Objekte überprüft, '12' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HelpHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'helpsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'helpctr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sav.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Programme\SAV\sav.exe'
Durchsuche Prozess 'b.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup1019.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSPopup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSMonitor.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dtsslsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyShare.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'opwareSE2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dthtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'sav.exe' wird beendet
C:\Programme\SAV\sav.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.AD.16
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '50' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <452116>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\scan.exe
[0] Archivtyp: RAR SFX (self extracting)
--> sav.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.AD.16
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bae3b.qua' verschoben!


Ende des Suchlaufs: Sonntag, 31. August 2008 17:20
Benötigte Zeit: 48:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5831 Verzeichnisse wurden überprüft
227897 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
227892 Dateien ohne Befall
7122 Archive wurden durchsucht
1 Warnungen
10 Hinweise
58233 Objekte wurden beim Rootkitscan durchsucht
12 Versteckte Objekte wurden gefunden (code)

Mal...A-M vom 1.9.08
(code) Malw++++' Anti-Malwar 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

14:10:33 01.09.2008
mbam-log-09-01-2008 (14-10-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40471
Laufzeit: 3 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\sav.cpl (Rogue.SystemAntivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
(code)

Beim Durchlauf mit dem vollständigen Scan, fand er noch einen Rogue.Agent in C:/Programme/UltimateZip 2.7/libbz2.dll. Der in der Quarantäne gelandet ist.

Hij... vom 04.9.08
(code) Logfile of Trend Mi*** Hij**This v2.0.2
Scan saved at 01:41:48, on 04.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Philips Display\SmartControl II\DTHtml.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\WinSweep2\WSMonitor.exe
C:\Programme\WinSweep2\WSPopup.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep2\ws.js
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DT PHL] C:\Programme\Philips Display\SmartControl II\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep2\WSPopup.Exe /STEP1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1155856616921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1196418433328
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7522 bytes
(code)

Inzwischen habe ich auch die Systemwiederherstellung deaktiviert. Und laß dich nicht täuschen, wenn der IE7 angegeben wird. Zuvor war ich auf der symantec-seite gewesen. Wo ein Virenscan durchlief; ang. alles ok. Für 2 Tage, denn in den letzen 2, war wieder Malware drauf. Aber das Zuzusenden wäre zuviel.

Frage: was ist mit der Malware, die von mbm und Avira AntivPre in Quarantäne genommen wurde. Kann die dort einfach bleiben oder muß ich die daraus löschen???? Bitte, bitte verrat mir das.

Werde mich gleich an dieses Blacklight machen. Allerdings laß ich das Combofix erstmal weg. Sorry, ich bin kein IT-Mensch! Und da beim PC die Maus wie Keyboard über USB angeschlossen ist und ich keine Ahnung habe, wie dir dann posten, da der Rechner dann quasi "tot" ist.

Hilf mir erstmal bitte soweit, wie es bis zum Blacklight geht, ok?
Danke dir und hab Geduld mit jemanden, der weniger Erfahrung in alldem hier hat.
vg Fleur08

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
         

Dieser TDSSServ verbreitet sich sich echt massenhaft
Hab hier schon einige Fälle gesehen wo der drauf war/ist. Daher solltest Du Combofix unbedingt noch anwenden...wenn Du Dich haargenau an die Instuktion hälst, kann wenig bis garnichts passieren.

Zitat:

Allerdings laß ich das Combofix erstmal weg. Sorry, ich bin kein IT-Mensch! Und da beim PC die Maus wie Keyboard über USB angeschlossen ist und ich keine Ahnung habe, wie dir dann posten, da der Rechner dann quasi "tot" ist.

Sry, aber das versteh nicht, was die Schnittstelle von Keyboard und Maus mit CF zu tun haben soll. Du sollst bloß während CF läuft nichts am PC machen, keine Tastatureingaben und eben NICHT die Maus bewegen solange CF nicht fertig ist.

Quarantänedateien kannst Du alle löschen.

Hallo root24*
ist ja eine superschnelle Antwort.
Combofix? Vergess es! Auf keinen Fall!
Habe nämlich die Comboseite gelesen, manches ist auf Englisch. Absolut schlecht für mich, versteh nämlich kein Wort. Genau da, wo es um die Wiederherstellungsbox von Combo geht. Rettungs-CD für den Sempron zwar vorhanden, aber absoluter Schrott. Das einzige was man damit tun kann ist, noch mal neu installieren.
Hier die letzen Logfiles für dich:
(code)

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 5. September 2008 02:54

Es wird nach 1598352 Virenstämmen gesucht.

Lizenznehmer: *
Seriennummer: *
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: *

Versionsinformationen:
BUILD.DAT : 8.1.0.367 20012 Bytes 12.08.2008 11:28:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 16:32:05
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 16:32:05
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 16:32:05
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 16:32:05
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:00:19
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 17:01:33
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 19:08:23
ANTIVIR3.VDF : 7.0.6.118 179712 Bytes 04.09.2008 00:14:48
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 11:40:58
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 03.09.2008 21:19:17
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 17:47:52
AERDL.DLL : 8.1.1.1 397683 Bytes 03.09.2008 21:19:16
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 17:47:51
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 03.09.2008 21:19:15
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 03.09.2008 21:19:14
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 14:49:44
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:56:09
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 02:20:53
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 21:19:11
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 11:40:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 16:32:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 16:32:05
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 02:20:51
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 16:32:05
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 11:40:58
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 16:32:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 11:40:58
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 16:32:05
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 11:40:58
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 17.07.2008 16:31:56
RCTEXT.DLL : 8.0.51.0 90369 Bytes 17.07.2008 16:31:56

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 5. September 2008 02:54

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '58304' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dtsslsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyShare.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSPopup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'opwareSE2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dthtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <452116>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-824279748-2301499442-3103659018-1006\Dc1.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f1888d.qua' verschoben!
C:\System Volume Information\_restore{C633AEF0-F523-404E-B5E8-4449547AD9B7}\RP204\A0068719.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f089b9.qua' verschoben!


Ende des Suchlaufs: Freitag, 5. September 2008 03:39
Benötigte Zeit: 45:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5925 Verzeichnisse wurden überprüft
227681 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
227670 Dateien ohne Befall
7090 Archive wurden durchsucht
1 Warnungen
2 Hinweise
58304 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
(code)

Malwarebytes A-M hat nichts gefunden!!!!


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Ach ja, Blacklight kann ich leider nicht downloaden. Der Server verweigert die Seite. Werde ncoh den CC-Cleaner ansetzen. Für Combo habe ich zuviel Angst!!! Versteh das.
vg Fleur08

vg Fleur08

Hallo,
also habe statt Combo den GMER installiert, der noch einige Dateien anzeigte und löschte. Weder Hijack, Malwarebytes noch Avira Antivir oder die Firewall finden etwas.
Ist das System jetzt sauber? Bitte verweis nicht wieder auf Combo. Das ist bei meinen mangelhaften Englischkenntnissen und für die erste eigene Fehlerbehandlung im System einfach zuviel. Dafür haben deine anderen Tips ja geholfen!
Soweit großes Danke!

Hab noch ein Prob, doch dafür schick ich dir eine PN. Wirst verstehen warum, wenn du den Inhalt liest. Okay? Aber wo ist bei euch der PN-Button?

viele Grüße
Fleur08

Schmeiß bitte nicht mit irgendwelchen Logs um Dich - ich bat Dich noch um das listing und nicht um erneute AntiVir und HijackThis Log. Mach bitte statt CF silentrunners und SDfix:

SDFix anwenden:

• Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

SILENTRUNNERS

Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Hallo,
sorry! Ich wollte, daß du dich selbst vergewissern kannst, was derzeit auf meinem Rechner los ist. Und kann nur wiederholen: ich mach sowas zum allerersten Mal!!!
Ich bin froh, daß ich das mit den Logfiles hinbekommen habe. Denn außerdem sind mir auch für User gängige Begriffe oder Vorgänge unbekannt. So kann ich nicht im Html-Modus senden; steht bei mir auf AUS.
Und konnte ich auch nicht aktivieren.

Zu deinem neuen Button und einer weiteren Ausführung. Muß ich dann wieder die Systemwiederherstellung deaktiveren?????
Gmer 1.02 hat alles in Registry, Files, System, etc. gelöscht. Was bewirkt dein Vorschlag?

Verrate mir noch bitte, wie ich in einem vorigen Beitrag Änderungen am Text vornehmen kann. Wollte nämlich gerade hier das Thema löschen, da sämtliche Daten meinerseits zu lesen sind.
vg Fleur08

Zitat:

So kann ich nicht im Html-Modus senden; steht bei mir auf AUS.

HTML-Modus? In welchem Zusammenhang?

Zitat:

Zu deinem neuen Button und einer weiteren Ausführung. Muß ich dann wieder die Systemwiederherstellung deaktiveren?????
Gmer 1.02 hat alles in Registry, Files, System, etc. gelöscht. Was bewirkt dein Vorschlag?

Laß die die SWH erstmal deaktiviert. Es wäre übrigens mal gut wenn Du das Logfile von GMER posten könntest. Es bringt nicht viel einfachzu poste dass es was gelöscht hat, man muss schon wissen was es genau war!
Sdfix ist ein Removaltool, was bekannte Malware löscht und anschließend ein Logfile erstellt. Silenrrunners verändert nix, es analysiert aber viel und schreibt dementsprechend viel in seine Logdatei rein.

Du bist übrigens ziemlich ängstlich. Zumindest hab ich den Eindruck. Es macht nicht sonderlich viel Spaß erst genauestens erklären zu müssen was für was genau da und zwar so dass es auch Laien einigermaßen verstehen können. Außerdem stehen die meisten Beschreibungen auch in den Anleitungen so oder verlinkt.
Combofix ist mittlerweile eigentlich ziemlich zuverlässig. Wenn Du Dich haargenau an die Anleitung hälst, kann (fast) nix passieren. Aber Du willst ja nicht...

Deinen Beitrag kannst Du nicht mehr editieren, aber auf Anfrage ein Admin oder Mod.

Hallo,
sorry daß erste Logfile von GMER ist nciht mehr vorhanden. Habe ihn vorhin noch mal durchlaufen lassen - keine Anzeichen von irgendwelchen Viren, Trojanern, Rootkits, etc.
Dasselbe gilt für Avira AntivirPremium, Winsweep und Highjacker, Malwarebytes A-M. Da ich nicht mit Logfiles um mich schmeißen soll - verzichte ich auf das Hochladen, ok?

Bin eh nur noch am WE am eigenen PC und werde bei Bedarf auf deine weiteren Anweisungen, eventuell zurückgreifen.
Scheint mir die beste Lösung zu sein. Da du keinen Nerv hast, einer Anfängerin etwas mehr Geduld entgegenzubringen. Sondern weiter nur mit neuen Anweisungen um dich schmeißt. Erstens erhöht das meine Unsicherheit beim Installieren und Durchführen der Programme, zudem laß ich mich nunmal ungern unter Druck setzen.

Trotzdem ein großes Dankeschön, dafür daß du dich meiner so schnell angenommen hast!!!
vg
Fleur08

Zitat:

Zitat von Fleur08

Da ich nicht mit Logfiles um mich schmeißen soll - verzichte ich auf das Hochladen, ok?

Du solltest nicht damit um Dich werfen aber zumindest die geforderten Logfiles posten. Merkst Du den Unterschied?

Zitat:

Da du keinen Nerv hast, einer Anfängerin etwas mehr Geduld entgegenzubringen. Sondern weiter nur mit neuen Anweisungen um dich schmeißt. Erstens erhöht das meine Unsicherheit beim Installieren und Durchführen der Programme, zudem laß ich mich nunmal ungern unter Druck setzen.

Ich bin sehr geduldig mit Dir. Allerdings hast Du eine Bringschuld, die von mir verlinkten Artikel musst Du auch schon lesen wenn was unklar ist. Gerade als Anfängerin. Ist ja lobenswert von Dir, dass Du eben nicht alles anlickst.

So, Combofix weigerst Du Dich ja auszuführen. Was ist mit sdfix und silentrunners??