ich glaube das war nix..
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed May 06 20:09:57 2009

20:09:57: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\ntdll64.exe" not found!
Deletion of file "C:\WINDOWS\system32\ntdll64.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\frmwrk32.exe" not found!
Deletion of file "C:\WINDOWS\system32\frmwrk32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\loader49.exe" not found!
Deletion of file "C:\WINDOWS\system32\loader49.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Hi,

es ist äußert unwahrscheinlich, dass die Dateien da sind, wenn Avenger die nicht findet.

Sieht Malwarebytes sie denn noch?

lg myrtille

Ich kann geren morgen Malwarebytes durchlaufen lassen...
Aber jetzt sind die symptome wieder da....

Und zwar werde ich von google auf komsiche seiten "relinkt".
Hier eins davon
http://zeis.org.ua/eu/DE/k1/
weiss nicht ob das hilft...

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2061
Windows 5.1.2600 Service Pack 2

07.05.2009 23:55:01
mbam-log-2009-05-07 (23-55-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 146347
Laufzeit: 1 hour(s), 38 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Delete on reboot.

Hi,

ich werd mich mal bei einigen Kollegen umhören. Könntest du derweil bitte noch folgendes versuchen:

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt3.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

:files
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\loader49.exe
         

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!


Für den Überblick bitte auch mal folgendes noch abarbeiten:
Registry Search


Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)
Dort bitte nach folgendem suchen lassen:

Code: Alles auswählenAufklappen

ATTFilter

ntdll64.exe
         

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

_

Aktualisiere bitte außederm Malwarebytes und lasse nochmal einen Quickscan laufen, eventuell sieht das Programm mit aktuellen Signaturen mehr.

Erstelll zu guter letzt bitte noch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Poste bitte außerdem noch ein neues HijackThis log.

lg myrtille

the same again



========== FILES ==========
File/Folder C:\WINDOWS\system32\ntdll64.exe not found.
File/Folder C:\WINDOWS\system32\frmwrk32.exe not found.
File/Folder C:\WINDOWS\system32\loader49.exe not found.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05082009_195429

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 08.05.2009 19:57:14 for strings:
; 'ntdll64.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

FoxScan Version 1.1.1
Par Loup blanc - Zebulon.fr
Scan lancé le 11.05.2009 à 20:37

Microsoft Windows XP Professional Service Pack 2 [Version 5.1.2600]

Mozilla Firefox version : 3.0.10 (de)
Dossier d'installation : C:\Programme\Mozilla Firefox


=================================================================================
---------- Compte utilisateur : Hans [Session en cours]
=================================================================================


Profil : default
Dossier du profil : C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\mozilla\firefox\Profiles\rx9m1b5q.default\
Pages de démarrage prefs.js : "www.google.de"


//////////// Configuration \\\\\\\\\\\\\
======= Profil : default =======

Mise à jour Firefox : Activé
Mise à jour des modules complémentaires : Activé
Mise à jour des moteurs de recherche : Activé
Java : Activé
Javascript : Activé
Proxy : Pas de Proxy




//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

La notification d'installation des modules complémentaires est activée

Nom : XUL Cache
Dossier : C:\Programme\Mozilla Firefox\extensions\{3AEB46C1-0EF6-4F50-BB34-829072B9FE5B}\
Etat : actif

Nom : Default
Dossier : C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\
Etat : actif

Nom : Skype extension for Firefox
Dossier : C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\
Etat : actif

####### Traces de Goored trouvées dans : C:\Programme\Mozilla Firefox\extensions\{DC062E5E-1CFF-4A80-B91A-FB3C4B69ECE5}\chrome\content\overlay.xul #######

Nom : Google Toolbar for Firefox
Dossier : C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\mozilla\firefox\Profiles\rx9m1b5q.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\
Etat : actif

Nom : RealPlayer Browser Record Plugin
Dossier : C:\Program Files\Real\RealPlayer\browserrecord\
Etat : actif




//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

Recherche dans "prefs.js" :

browser.search.defaultenginename : "Google"
browser.search.defaulturl : "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
browser.search.selectedEngine : "Google"
keyword.URL :
keyword.enable :


--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur





=================================================================================
---------- Section commune
=================================================================================

//////////// DLL présentes dans C:\Programme\Mozilla Firefox\components \\\\\\\\\\\\\

browserdirprovider.dll
brwsrcmp.dll


------------------------------------------------------

//////////// Plugins de recherche \\\\\\\\\\\\\

--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur


C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
Template : http://www.amazon.de/exec/obidos/external-search/


C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
Template : http://rover.ebay.com/rover/1/707-37276-17702-4/4


C:\Programme\Mozilla Firefox\searchplugins\google.xml
Template : http://www.google.com/search


C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
Template : http://dict.leo.org


C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
Template : http://de.wikipedia.org/wiki/Spezial:Search


C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
Template : http://de.search.yahoo.com/search



------------------------------------------------------

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\


[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]
"Description"="Adobe® Flash® Player 10"
"Vendor"="Adobe Systems Incorporated"
"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nppl3260;version=6.0.12.69]
"Description"="RealPlayer(tm) LiveConnect-Enabled Plug-In"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprjplug;version=1.0.3.69]
"Description"="RealJukebox Netscape Plugin"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprpjplug;version=6.0.12.69]
"Description"="6.0.12.69"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nsJSRealPlayerPlugin;version=]


------------------------------------------------------

//////////// Recherche additionnelles... \\\\\\\\\\\\\

==== Extension supplémentaire ====


[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
"{ABDE892B-13A8-4d1b-88E6-365A6E755758}"="C:\Program Files\Real\RealPlayer\browserrecord"


[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]


=========================== Fin du rapport ===========================

Hi,

FoxScan zeigt, dass du eventuell mit einem Schädling für Firefox infiziert bist:

Lade dir bitte GooredFix.exe herunter und speichere es auf deinem Desktop.
Führe das Programm per Doppelklick aus und wähle die Option 1.
Ein log sollte sich öffnen, poste den Inhalt bitte hier.

lg myrtille

Search Navipromo version 3.7.6 began on 11.05.2009 at 20:08:38,35

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A08
USER : Hans ( Administrator )
BOOT : Normal boot

Antivirus : PC Tools AntiVirus 6.0.0.19 6.0.0.19 (Activated)


C:\ (Local Disk) - NTFS - Total:142 Go (Free:62 Go)
D:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Hans\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Hans\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 11.05.2009 at 20:13:17,31 ***