Zitat:

Mir fällt auf , das Du so manches mal tief ins Klo greifst und dann noch auf Profi machst. *hust*

Das will ich jetzt genauer erklärt haben.

Zitat:

Einen Trojan-Downloader selber kann man schon entfernen , aber man weiß halt nicht was der alles so nachgeladen hat.

Ich habe genau das gleiche doch schon damit ausgesagt...

Zitat:

jedoch ist
es wirklich ein Trojaner Downloader wird dir nur noch formatieren helfen, die
wieder los zu werden.

Zitat:

Zitat von xonic

Das will ich jetzt genauer erklärt haben.

Wieso willst Du immer direkt formatieren lassen ? Man kan Malware auch ohne formatieren loswerden. Das bezieht sich jetzt auf deine Aussage : Wenn Du infiziert bist , hilft eh nur formatieren. Da könnte GUA das Forum ja direkt schließen und nur die Anleitung fürs Neuaufsetzen online lassen

OT-Blase bitte an dieser Stelle beenden. Wenn ihr diskutieren wollt dann bitte im entsprechenden Unter-Forum

Naja, ich habe nach dem Comboscan zwei Internetexplorersymbole gehabt. Dieser automatische Yahooscan findet bei mir immer bifrost und KaZaa, beide Ordner/ Schlüssel sind auch im entsprechenden Verzeichnis, aber angeblich leer. Versuche ich sie zu löschen, dann sind sie schnell wieder da. Ich arbeite jetzt noch deine weiteren Anweisungen ab. Vielen Dank, für deinen Hinweis an die anderen: Das verunsichert und nervt nämlich.

Als ich Anvenger ausführte bekam ich eine Virenmeldung von Kaspersky. habe dann folgendes gelöscht: Infiziert: schädliches Programm Hoax.Win32.Agent.fu C:\WINDOWS\system32\drivers\wuhd.sys 60 KB

Ich dachte immer, diese c cleanup exe gehört zum CClenaer. Führe jetzt den Pandascan durch.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 23040 bytes
MD5...: b68aee4586a0195f2ba8223ee36fda40
SHA1..: 8ef83aeb1c0cbbcfa0da10ad117fb03e192c54c3
SHA256: 5e04b5832101b9558e5deb70d83da0963f6d452f901be86e76c90dc7ac8e6528
SHA512: 9dd65833c5322f099cf23ca198f288abcbd656fa1705441101710687993b8c46
f23c38eed98da5738220dd3cf37532f8eec4caeb90204637af70a842ef79c3b3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601b2ed0
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2432 0x2600 6.16 0fa5f13848f4447d7156f4b2754bb2d1
.rdata 0x4000 0xed5 0x1000 5.73 292dc406d33ae8ddd16c719d7725487b
.data 0x5000 0x370 0x200 0.49 8cb92535fced5bbe1980af6e98d20b22
.rsrc 0x6000 0x390 0x400 2.97 39a449a88f891c8aada7ffab0876d2b7
.reloc 0x7000 0x3fc 0x400 5.11 a64da0e8f379d2d93372e47b6bf7b5dd

( 4 imports )
> xpcom.dll: NS_GetServiceManager, NS_Alloc, NS_CStringContainerInit, NS_CStringContainerInit2, NS_NewNativeLocalFile, NS_CStringContainerFinish
> nspr4.dll: PR_AtomicIncrement, PR_AtomicDecrement
> MOZCRT19.dll: strcpy, _except_handler4_common, _onexit, _lock, __dllonexit, _unlock, __clean_type_info_names_internal, _crt_debugger_hook, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, strcmp, __3@YAXPAX@Z, __2@YAPAXI@Z, memmove, free, realloc, malloc, memcpy, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm
> KERNEL32.dll: IsDebuggerPresent, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedExchange, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, Sleep

( 1 exports )
NSGetModule

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule

Der Pandascan fand eine Datei, die er aber nicht löschen kann - hier die Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\Registry Easy" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Och nee, ich kotze gleich: Jetzt macht Kaspersky permanent Krach - Nachstehendes wird gemeldet:nicht gefunden: schädliches Programm Hoax.Win32.Agent.fu Datei: C:\WINDOWS\system32\drivers\xtaft.sys
Ist das eventuell ein Dinge vom Pandascanner?

Mache bitte einen Screenshot von der entsprechenden Meldung und poste das Bild hier.
Wie geht's dem Rechner sonst so?