Da sind noch viele Dateien die weg müssen:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

drivers to delete:
TDSSSERV
TDSSSERV.SYS

files to delete:
C:\WINDOWS\system32\mbr.exe
C:\WINDOWS\yfoju._sy
C:\WINDOWS\system32\nygoqeh._sy
C:\WINDOWS\osuli.reg
C:\WINDOWS\zuwel.vbs
C:\WINDOWS\system32\wiwaq._sy
C:\WINDOWS\fedecuxa.dll
C:\WINDOWS\teqam.db
C:\WINDOWS\vofaboxi.vbs
C:\WINDOWS\qavygu.inf
C:\WINDOWS\ninux.dat
C:\WINDOWS\xipipineti.inf
C:\WINDOWS\xapubavoqo.reg
C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\kevuqulo.scr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yfywetu.inf
C:\WINDOWS\Temp\WFV1.tmp
C:\WINDOWS\teqam.db
C:\WINDOWS\qavygu.inf
C:\WINDOWS\xipipineti.inf
C:\WINDOWS\xapubavoqo.reg
C:\WINDOWS\osuli.reg
C:\WINDOWS\ninux.dat
C:\WINDOWS\fedecuxa.dll
C:\WINDOWS\yfoju._sy
C:\WINDOWS\vofaboxi.vbs
C:\WINDOWS\zuwel.vbs
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Bin dabei...... hab den PC nicht mehr berührt... er war beim abmelden.. und ist dann einfach eingefrohren.... jetzt sehe ich noch ein schwarzes Feldchen in der Grösse des "Windows wird jetzt heruntergefahren"-Fenster.

Soll ich warten ob er wirklich noch neustartet..... oder soll ich ihn ausschalten und neustarten? Warte jetzt schon sicher 60 Minuten und es ist kein alter PC

Also nach 60 Minuten kann man nun wirklich von einem Absturz ausgehen.... Resette einfach.

Logfile vom Avenger:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!
Deletion of driver "TDSSSERV" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV.SYS" not found!
Deletion of driver "TDSSSERV.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\mbr.exe" deleted successfully.
File "C:\WINDOWS\yfoju._sy" deleted successfully.
File "C:\WINDOWS\system32\nygoqeh._sy" deleted successfully.
File "C:\WINDOWS\osuli.reg" deleted successfully.
File "C:\WINDOWS\zuwel.vbs" deleted successfully.
File "C:\WINDOWS\system32\wiwaq._sy" deleted successfully.
File "C:\WINDOWS\fedecuxa.dll" deleted successfully.
File "C:\WINDOWS\teqam.db" deleted successfully.
File "C:\WINDOWS\vofaboxi.vbs" deleted successfully.
File "C:\WINDOWS\qavygu.inf" deleted successfully.
File "C:\WINDOWS\ninux.dat" deleted successfully.
File "C:\WINDOWS\xipipineti.inf" deleted successfully.
File "C:\WINDOWS\xapubavoqo.reg" deleted successfully.
File "C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\kevuqulo.scr" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yfywetu.inf" deleted successfully.

Error: file "C:\WINDOWS\Temp\WFV1.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\WFV1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\teqam.db" not found!
Deletion of file "C:\WINDOWS\teqam.db" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\qavygu.inf" not found!
Deletion of file "C:\WINDOWS\qavygu.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\xipipineti.inf" not found!
Deletion of file "C:\WINDOWS\xipipineti.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\xapubavoqo.reg" not found!
Deletion of file "C:\WINDOWS\xapubavoqo.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\osuli.reg" not found!
Deletion of file "C:\WINDOWS\osuli.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\ninux.dat" not found!
Deletion of file "C:\WINDOWS\ninux.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\fedecuxa.dll" not found!
Deletion of file "C:\WINDOWS\fedecuxa.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\yfoju._sy" not found!
Deletion of file "C:\WINDOWS\yfoju._sy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\vofaboxi.vbs" not found!
Deletion of file "C:\WINDOWS\vofaboxi.vbs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\zuwel.vbs" not found!
Deletion of file "C:\WINDOWS\zuwel.vbs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Ok, schön. Mach mal zur Überprüfung ein Logfile mit RSIT:

Lade Random's System Information Tool (RSIT) herunter und speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread, wieder mit Codetags umschlossen.

Der erste: http://www.file-upload.net/download-.../info.txt.html

Der zweite: http://www.file-upload.net/download-...9/log.txt.html

Ist das gut so?

Du solltest da mal etwas das System aufräumen.
Deinstallieren solltest Du

- Ask- und Yahoo-Toolbar (die braucht man wirklich nicht)
- alle Java-Versionen, spiel danach die aktuelle Version Java SE Runtime Environment (JRE) 6 Update 10 ein
- Netscape 7.1 (uralt!! )

Und andere Software die Du nicht wirklich brauchst.
Der Rechner ist doch keine Müllkippe wo alles einmal raufkommt und nie wieder runter wenn man es nicht mehr braucht. Oder brauchst Du wirklich soo viele Programme?

Ansonsten scheint das System nun sauber zu sein. Restrisiko bleibt nach einer Bereinigung immer.

Danke viel Mal, werde ich morgen gleich alles deinstallieren.. hauptsache mein PC hat überlebt =).. danke viel Mal nochmals =)

Vergiss nicht die Updates (SP3, IE7 etc.) zu installieren!!