Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.09.2008, 12:24   #1
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Guten Tag erstmal,
habe mich heute erst neu angemeldet und hoffe trotzdem das man mir schnell helfen kann. Also zu meinem Problem:

Immer wenn ich mein Computer Hochfahre und er am Desktop angekommen ist, öffnet sich eine Datei namens Icq Password Recovery. Und direkt darauf hin kommt eine Virenmeldung, der heißt KIT/Downloader.E , und solang dieses ICQ PASSWORD RECOVERY fenster geöffnet ist, kommt die Virenmeldung immer wieder bis ich da auf das rote [X] gedrückt habe. Dann löscht sich der Ordner aus der Temp Datei. Die Infizierte Datei heißt IcqHack.exe. Die Datei löscht sich dann auch. Aber sobald ich den Computer herunter fahre und ihn dann wieder anmache, fängt dasselbe von vorne an, ICQ PASSWORD RECOVERY startet, und die Virenmeldung kommt, obwohl ich die Infizierte Datei doch gelöscht habe. Ich würde gerne wissen wie ich den Virus oder was das ist ganz runter bekomme.
Seitdem bleibt der Computer manchmal hängen, meistens bei Videos.
Wenn ich einmal auf das Rote [X] von ICQ.. gedrückt habe, wird davon bis zum neustart nichts mehr sichtbar, als ob da nichts drauf ist.



ps: ICQ hab ich komplett von der Festplatte gelöscht und eine Defragmentierung wurde auch schon durchgeführt.

Ich habe schon versucht, die beim Icq datei die beim starten an geht, auszumachen aber bei "Ausführen -> msconfig -> Systemstart steht das auch nicht mehr drin und eine Systemwiederherstellung bringt nichts

Alt 29.09.2008, 12:36   #2
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Hi,

poste bitte ein HijackThis log.

lg myrtille
__________________

__________________

Alt 29.09.2008, 12:43   #3
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:46, on 29.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Adobe\Reader\Reader_sl.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schuelervz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,D:\Programme\MPK\MPK.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb127\Dealio.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb127\Dealio.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\^Drucker\OpwareSE4.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\winupd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAID Manager.lnk = ?
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio\kb127\res\DealioSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb127\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211646256531
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1217528465
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
__________________

Alt 29.09.2008, 12:51   #4
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Sieht so aus als hättest du dir was hübsches eingefangen. ICQRecoveryBla scheint auf jedenfall mehr mitgebracht zu haben als nur nen Passwort wiederfinder.

Lade bitte mal die folgende Datei bei virustotal hoch:
Zitat:
C:\WINDOWS\system32\winupd.exe
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 13:16   #5
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



wenn ich die da hoch steht da:

Datei winupd empfangen 2008.09.29 14:05:35 (CET)
Status: BEENDET


Ergebnis: 0/36 (0%)


Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.9.25.0 2008.09.29 -
AntiVir 7.8.1.34 2008.09.29 -
Authentium 5.1.0.4 2008.09.29 -
Avast 4.8.1195.0 2008.09.29 -
AVG 8.0.0.161 2008.09.29 -
BitDefender 7.2 2008.09.29 -
CAT-QuickHeal 9.50 2008.09.29 -
ClamAV 0.93.1 2008.09.29 -
DrWeb 4.44.0.09170 2008.09.29 -
eSafe 7.0.17.0 2008.09.29 -
eTrust-Vet 31.6.6116 2008.09.29 -
Ewido 4.0 2008.09.29 -
F-Prot 4.4.4.56 2008.09.28 -
F-Secure 8.0.14332.0 2008.09.29 -
Fortinet 3.113.0.0 2008.09.29 -
GData 19 2008.09.29 -
Ikarus T3.1.1.34.0 2008.09.29 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.29 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.29 -
NOD32 3479 2008.09.29 -
Norman 5.80.02 2008.09.29 -
Panda 9.0.0.4 2008.09.28 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.29 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.09.29 -
Sophos 4.34.0 2008.09.29 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.29 -
TheHacker 6.3.0.9.096 2008.09.29 -
TrendMicro 8.700.0.1004 2008.09.29 -
VBA32 3.12.8.6 2008.09.28 -
ViRobot 2008.9.29.1396 2008.09.29 -
VirusBuster 4.5.11.0 2008.09.28 -

weitere Informationen
File size: 125271 bytes
MD5...: b25021492ecbd7cf0a54dd019c943afb
SHA1..: 95a8c96fef324281eb90011a879c52e078bd8534
SHA256: 0f896c4146be19950f6ad846cadb046a5a01f77ed183b4f1fff64b66b3da4ee9
SHA512: f1e450e708ddfd825ab69a6493331284637fda26aa709897a9fd57bd5db9c673
fba970b683338a13a7c01c4d27fa62738ecc968dffb02bd88734714b84ce3cce
PEiD..: -
TrID..: File type identification
MP3 audio (ID3 v1.x tag) (71.4%)
MP3 audio (28.5%)
PEInfo: -


Alt 29.09.2008, 13:20   #6
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Hast du winupd oder winupd.exe hochgeladen? Aus welchem Ordner hsat du die Datei hochgeladen? Das Ergebnis ist mehr als bizarr.

lg myrtille
__________________
--> Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder

Alt 29.09.2008, 13:31   #7
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



SORRY
Ich habe Winupd hochgeladen nicht winupd.exe

Wenn ich winupd.exe kontrollieren lasse steht da:

0 bytes size received / Se ha recibido un archivo vacio

Alt 29.09.2008, 13:33   #8
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Hi,

kopiere die Datei auf deinen Desktop, benenne sie in virus.vir um und lade sie erneut hoch.
(Wenn das immernoch nicht will, dann machen wirs anders. Ich würd die Datei nur gern zuerst auswerten lassen.)
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 13:47   #9
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Ist leider nicht möglich, wenn ich auf Kopieren gehe (winupd.exe) und dann auf dem Desktop einfügen möchte steht da nicht möglich da die Datei zurzeit Verwendet wird. Schließen sie alle Programm die damit zu tun haben.

Alt 29.09.2008, 13:47   #10
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Zitat:
Zitat von BloedeViren Beitrag anzeigen
Ist leider nicht möglich, wenn ich auf Kopieren gehe (winupd.exe) und dann auf dem Desktop einfügen möchte steht da nicht möglich da die Datei zurzeit Verwendet wird. Schließen sie alle Programm eid edamit zu tun haben.
Dann versuche das bitte im abgesicherten Modus, da dürfte die Datei nicht ausgeführt werden.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 14:07   #11
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Wie komme ich in den Abgesicherten Modus rein? Wenn ich beim hochfahren F8 drücke, kommt da zwar was aber da steht kein Abgesicherter modus oder so.. da stehen paar sachen aber nichts was ich verstehen würde

Alt 29.09.2008, 14:12   #12
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



hier das kommt bei F8 guck bisschen weiter unten das blaue bild
Miniaturansicht angehängter Grafiken
-dsc00050.jpg  

Alt 29.09.2008, 14:16   #13
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Hui, das ist der BIOS.

Es kann sein, dass die Malware den abgesicherten Modus blockiert.

Dann werden wir die Datei(en) jetzt erstmal löschen und hinterher schauen ob wir rausfinden was das war.

Ich kann dir allerdings jetzt schon sagen, dass das sehr wahrscheinlich ein Backdoortrojaner ist. Dass das Programm eventuell deine Passwörter/Daten ausliest und das ein Neuaufsetzen sicherlich die sicherste Variante ist.

Wenn du eine Bereinigung versuchen willst, dann arbeite bitte folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 14:58   #14
BloedeViren
Gesperrt
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



eine gute nachricht hab ich schonmal, icq recovery.. wird am anfang nicht mehr angezeigt und eine virus meldung kommt auch nicht

hier das ComboFix:


ComboFix 08-09-27.06 - Administrator 2008-09-29 15:45:23.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun.dat
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun_nav.dat
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fdvnun_navps.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdfdoc2.dll
C:\WINDOWS\install.exe
C:\WINDOWS\system32\rtl60.bpl
C:\WINDOWS\system32\winupd.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-28 bis 2008-09-29 ))))))))))))))))))))))))))))))
.

2008-09-29 14:47 . 2008-09-29 14:47 <DIR> d--h----- C:\WINDOWS\PIF
2008-09-29 13:30 . 2008-09-29 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-29 13:29 . 2008-09-29 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-29 13:29 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-29 13:29 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-28 22:13 . 2008-09-28 22:34 250 --a------ C:\WINDOWS\gmer.ini
2008-09-27 18:20 . 2008-09-27 23:32 1,588 --a------ C:\WINDOWS\wininit.ini
2008-09-27 17:51 . 2008-09-28 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-27 17:04 . 2008-09-27 17:04 <DIR> d-------- C:\Programme\Panda Security
2008-09-27 17:04 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-27 12:55 . 2008-09-29 15:44 132,361 --a------ C:\WINDOWS\system32\winupd
2008-09-26 14:23 . 2008-09-26 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-25 20:18 . 2008-09-25 20:18 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-09-25 20:18 . 2008-09-25 20:22 59,904 --a------ C:\WINDOWS\getpasses.exe
2008-09-25 19:59 . 2008-09-25 21:34 <DIR> d-------- C:\Programme\AskBarDis
2008-09-25 19:56 . 2008-09-25 19:56 <DIR> d-------- C:\DVDVideoSoft
2008-09-22 20:31 . 2008-04-21 13:51 9,023 --a------ C:\WINDOWS\KnuddelVermehrer.bat
2008-09-21 20:01 . 2005-12-12 06:20 20,480 --a------ C:\WINDOWS\system32\windllm.exe
2008-09-21 18:11 . 2008-09-29 11:59 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-21 14:45 . 2008-09-21 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nero
2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Programme\Nero
2008-09-21 14:42 . 2008-09-21 14:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-09-21 14:42 . 2008-09-21 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-16 16:35 . 2008-09-16 16:35 <DIR> d-------- C:\Programme\Sun
2008-09-16 16:34 . 2008-09-16 16:34 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\WINDOWS\system32\psconv
2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- C:\Programme\psconvert
2008-09-10 17:31 . 2003-04-11 18:28 679,109 --a------ C:\WINDOWS\FONTSDIR.MFD
2008-09-10 17:31 . 2001-10-29 01:42 116,224 --a------ C:\WINDOWS\system32\pdfmonnt.dll
2008-09-10 17:31 . 2008-09-10 17:31 164 --a------ C:\WINDOWS\system32\psconv.ini
2008-09-10 17:19 . 2008-09-10 17:19 <DIR> d-------- C:\Programme\gs
2008-09-10 17:19 . 2008-09-10 17:19 43 --a------ C:\WINDOWS\gswin32.ini
2008-09-10 17:06 . 2008-09-10 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WordToPDF
2008-09-07 11:41 . 2008-09-07 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-07 00:12 . 2008-09-07 00:12 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Programme\SweetIM
2008-09-02 20:14 . 2008-09-02 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-09-02 16:49 . 2008-09-02 20:16 <DIR> d-------- C:\Programme\TeamViewer3
2008-09-02 16:49 . 2008-09-02 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
2008-08-29 13:35 . 2008-09-07 11:17 1,786 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 12:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-25 17:59 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-21 14:01 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-09-20 15:00 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
2008-09-16 14:34 --------- d-----w C:\Programme\Java
2008-09-04 11:36 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-08-30 19:46 --------- d-----w C:\Programme\Messenger Plus! Live
2008-08-28 08:54 --------- d-----w C:\Programme\Mozilla Firefox(2)
2008-08-26 16:42 --------- d-----w C:\Programme\Google
2008-08-19 13:50 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio
2008-08-18 13:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Search Settings
2008-08-18 13:00 --------- d-----w C:\Programme\Search Settings
2008-08-18 13:00 --------- d-----w C:\Programme\Dealio
2008-08-16 11:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-08-16 11:25 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-16 11:25 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-16 11:19 --------- d--h--r C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-08-14 15:55 304,160 ----a-w C:\PA207.DAT
2008-08-14 12:20 258,048 ----a-w C:\WINDOWS\system32\TubeFinder.exe
2008-07-31 11:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(4).dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(3).dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es(2).dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2005-05-18 17:56 11,810,860 ----a-w C:\Programme\setup.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ C:\Programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"Google Update"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 266497]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader\Reader_sl.exe" [2008-01-11 39792]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"au"="C:\Programme\Dealio\DealioAU.exe" [2008-05-26 595296]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-09-16 144792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-07-01 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-07-05 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"D:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008\\PES2008.exe"=
"D:\\Programme\\Valve\\Steam.exe"=
"D:\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Team Viewer\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1200:UDP"= 1200:UDP:CS 1.6
"27000:UDP"= 27000:UDP:Counter-strike 1.6
"27015:UDP"= 27015:UDP:CS 1.6
"27030:TCP"= 27030:TCP:Counter-Strike 1.6
"27039:TCP"= 27039:TCP:Counter-Strike 1.6
"13953:TCP"= 13953:TCP:Skype
"13953:UDP"= 13953:UDP:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 0 (0x0)

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2008-07-07 165504]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 JavaQuickStarterService;Java Quick Starter;C:\Programme\Java\jre6\bin\jqs.exe [2008-09-16 147456]
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2008-07-07 16000]
S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 171264]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-08 38528]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 112384]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EC383C4E-F6A8-1A1D-BE64-372B5E654694}]
C:\WINDOWS\system32\winupd.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-OpwareSE4 - D:\^Drucker\OpwareSE4.exe
Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\e74ykxbh.default\
FF -: plugin - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - D:\Adobe\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-29 15:47:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-09-29 15:49:45
ComboFix-quarantined-files.txt 2008-09-29 13:48:43

Vor Suchlauf: 11 Verzeichnis(se), 43.171.913.728 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 43,311,968,256 Bytes frei

191 --- E O F --- 2008-09-10 13:51:10

Alt 29.09.2008, 16:01   #15
myrtille
/// TB-Ausbilder
 
Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Standard

Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder



Hi,


wir machen Fortschritte,
Die Datei kennst du:
Zitat:
2008-09-22 20:31 . 2008-04-21 13:51 9,023 --a------ C:\WINDOWS\KnuddelVermehrer.bat
Arbeite bitte folgendes ab:

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
file::
C:\WINDOWS\system32\winupd
C:\WINDOWS\getpasses.exe
C:\WINDOWS\system32\windllm.exe

folder::
C:\Programme\AskBarDis
registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"=-

[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder
beim starten, computer, datei, desktop, ellung, festplatte, gelöscht, gen, helfen, hängen, icq, immer wieder, infizierte, infizierte datei, neu, neustart, nicht mehr, ordner, problem, recovery, schnell, starten, startet, systemstart, systemwiederherstellung, temp, virus, öffnet




Ähnliche Themen: Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder


  1. Gelöschte Datei vom USB-Stick wieder herstellen
    Alles rund um Windows - 21.01.2017 (10)
  2. Windows 7: Firefox schließt sich von alleine und kann erst nach Neustart wieder gestartet werden
    Log-Analyse und Auswertung - 06.05.2015 (10)
  3. in HKEY_USERS\.DEFAULT\...\Internet Settings sind gelöschte ProxyServer Daten nach reboot wieder da
    Log-Analyse und Auswertung - 17.04.2015 (11)
  4. Virus lässt sich nur kurzzeitig entfernen! Gebläse ist nach dem Neustart wieder laut.
    Plagegeister aller Art und deren Bekämpfung - 22.05.2014 (20)
  5. Wie stelle ich gelöschte Objekte in Outlook 2003 wieder her? (Ordner: "gelöschte Objekte" wurde vom Kollegen gelöscht.)
    Alles rund um Windows - 10.01.2013 (4)
  6. Infizierte Datei kehrt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (7)
  7. Infizierte Datei lässt sich nicht dauerhaft entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (23)
  8. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  9. Datei dhcpcsvc.dll erstellt sich selbst neu nach entfernung von Security Essentials 2010
    Plagegeister aller Art und deren Bekämpfung - 03.07.2010 (7)
  10. Datei wird immer wieder erstellt - wer war es?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (3)
  11. svchost.exe erstellt sich immer wieder neu im TEMP Ordner
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (1)
  12. Trojaner der sich immer wieder neu erstellt
    Plagegeister aller Art und deren Bekämpfung - 28.05.2009 (2)
  13. Firefox stürzt ab und lässt sich dann erst nach neustart wieder ausführen
    Log-Analyse und Auswertung - 20.09.2008 (5)
  14. Virusdatei erstellt sich immer wieder neu
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (4)
  15. Gelöschte Datei lässt sich nicht "entgültig" löschen
    Alles rund um Windows - 08.03.2006 (2)
  16. Nach Neustart neue Einträge in Host Datei
    Plagegeister aller Art und deren Bekämpfung - 16.01.2006 (2)
  17. Antivir meldet mir eine infizierte Datei.
    Plagegeister aller Art und deren Bekämpfung - 05.01.2005 (2)

Zum Thema Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder - Guten Tag erstmal, habe mich heute erst neu angemeldet und hoffe trotzdem das man mir schnell helfen kann. Also zu meinem Problem: Immer wenn ich mein Computer Hochfahre und er - Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder...
Archiv
Du betrachtest: Eine gelöschte Infizierte Datei erstellt sich nach Neustart wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.