Zitat:

* Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Das Prevx Combofix als schädlich ansieht ist ganz normal. Ignoriere die Meldung.

Hallo!
Endlich komme ich dazu, weiterzumachen!
Konnte leider Antivir nicht komplett ausschalten...
Habe dann trotzdem Combofix durchgeführt, hier das Log:

ComboFix 09-06-24.04 - Vorname Nachname 25.06.2009 12:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.225 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Vorname Nachname \Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\install.exe
c:\windows\system32\Ijl11.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-25 bis 2009-06-25 ))))))))))))))))))))))))))))))
.

2009-05-27 14:26 . 2009-05-27 14:26 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-05-27 14:26 . 2009-05-27 14:26 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-05-27 14:26 . 2009-05-27 14:26 -------- d-----w- c:\programme\Prevx
2009-05-27 14:26 . 2009-06-20 11:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-05-27 13:12 . 2009-05-27 13:12 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-05-27 13:10 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-27 13:10 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-05-27 13:10 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-27 13:10 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-27 13:10 . 2009-05-27 13:10 -------- d-----w- c:\programme\Avira
2009-05-27 13:10 . 2009-05-27 13:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 09:51 . 2008-10-27 10:13 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Skype
2009-06-25 08:26 . 2009-01-04 08:03 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\HPAppData
2009-06-25 08:10 . 2009-05-18 19:44 117760 ----a-w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-06-25 08:10 . 2008-10-27 10:14 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\skypePM
2009-06-25 08:08 . 2008-06-13 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-25 12:19 . 2005-01-12 13:28 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-25 12:13 . 2009-05-25 12:13 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Buhl Data Service
2009-05-25 12:13 . 2009-05-25 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-05-25 12:13 . 2004-08-04 12:00 75116 ----a-w- c:\windows\system32\perfc007.dat
2009-05-25 12:13 . 2004-08-04 12:00 415818 ----a-w- c:\windows\system32\perfh007.dat
2009-05-25 12:00 . 2009-05-25 12:00 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\InstallShield
2009-05-20 12:16 . 2008-12-09 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-18 19:44 . 2009-05-18 19:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-18 19:43 . 2009-05-18 19:43 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\SUPERAntiSpyware.com
2009-05-18 19:42 . 2008-11-02 15:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-18 19:23 . 2009-05-18 19:23 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Malwarebytes
2009-05-18 19:22 . 2009-05-18 19:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 15:32 . 2004-08-04 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-06 11:43 . 2007-11-20 08:45 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\ICQ Toolbar
2009-05-02 10:00 . 2008-12-30 16:26 -------- d-----w- c:\programme\HP
2009-04-29 04:42 . 2004-08-04 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2004-08-04 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2004-08-04 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-06 13:32 . 2009-05-18 19:22 38496 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-05-18 19:23 15504 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-04-01 08:38 . 2009-04-01 08:38 152576 ----a-w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2005-09-19 18:30 . 2005-09-19 18:30 154 -c--a-w- c:\programme\setuplog.txt
2004-03-11 12:27 . 2005-01-12 13:40 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 1871872]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-09 68856]
"GMX_GMX MultiMessenger"="d:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-10-09 4785576]
"H/PC Connection Agent"="d:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-29 21755688]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 344064]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2004-09-29 28672]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-07 1400944]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2005-05-22 26112]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="d:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2004-09-29 28672]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2004-9-29 28672]
HP Digital Imaging Monitor.lnk - d:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Picture Package Menu.lnk - d:\programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2006-11-9 151552]
Picture Package VCD Maker.lnk - d:\programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2006-11-9 106496]
WISO Mein Sparbuch heute.lnk - d:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-5-25 1119528]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= c:\dokumente und einstellungen\Vorname Nachname \Desktop\buba_desktop.html
FriendlyName=

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- d:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=
"d:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"d:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [27.05.2009 16:26 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [27.05.2009 16:26 27656]
R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [27.05.2009 15:10 108289]
R2 atjsgt;atjsgt;c:\windows\system32\drivers\atjsgt.sys [19.03.2007 14:21 165504]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [27.05.2009 16:26 4368952]
R2 linsgt;linsgt;c:\windows\system32\drivers\linsgt.sys [19.03.2007 14:21 16000]
R3 SASENUM;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
S3 dtwmnic5;Telekom Eumex 704PC DSL;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 esihdrv;esihdrv;\??\c:\dokume~1\NAMENA~1\LOKALE~1\Temp\esihdrv.sys --> c:\dokume~1\NAMENA~1\LOKALE~1\Temp\esihdrv.sys [?]
S3 naecd;naecd;\??\c:\dokume~1\NAMENA~1\LOKALE~1\Temp\naecd.sys --> c:\dokume~1\NAMENA~1\LOKALE~1\Temp\naecd.sys [?]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-25 11:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de-de.facebook.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {9A772CEA-E4C0-46C8-80C3-CFD35F8B600A} = 213.191.74.11 213.191.92.82
DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} - hxxp://www.facebook.com/controls/contactx.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 12:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-515967899-746137067-839522115-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="Expired"
"InitTime"=dword:00009645
"LastTime"=dword:000096df
"Keyindex"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
d:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-06-25 12:21
ComboFix-quarantined-files.txt 2009-06-25 10:21

Vor Suchlauf: 319.000.576 Bytes frei
Nach Suchlauf: 312.008.704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

190 --- E O F --- 2009-06-14 11:54


Ich hoffe, du kannst mir weiterhelfen!!!
VIELEN DANK!
Guagua
:aplaus:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
  .
  

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat



Folders to delete:
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
c:\programme\Uninstall_CDS.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\perfc007.dat" deleted successfully.
File "c:\windows\system32\perfh007.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Datei lzma.dll empfangen 2009.06.26 12:19:24 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.26 -
AhnLab-V3 5.0.0.2 2009.06.26 -
AntiVir 7.9.0.196 2009.06.26 -
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.25 -
Avast 4.8.1335.0 2009.06.25 -
AVG 8.5.0.339 2009.06.26 -
BitDefender 7.2 2009.06.26 -
CAT-QuickHeal 10.00 2009.06.26 -
ClamAV 0.94.1 2009.06.26 -
Comodo 1433 2009.06.26 -
DrWeb 5.0.0.12182 2009.06.26 -
eSafe 7.0.17.0 2009.06.25 -
eTrust-Vet 31.6.6581 2009.06.26 -
F-Prot 4.4.4.56 2009.06.25 -
F-Secure 8.0.14470.0 2009.06.26 -
Fortinet 3.117.0.0 2009.06.26 -
GData 19 2009.06.26 -
Ikarus T3.1.1.59.0 2009.06.26 -
Jiangmin 11.0.706 2009.06.26 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.26 -
McAfee 5657 2009.06.25 -
McAfee+Artemis 5657 2009.06.25 -
McAfee-GW-Edition 6.7.6 2009.06.26 -
Microsoft 1.4803 2009.06.26 -
NOD32 4191 2009.06.26 -
Norman 6.01.09 2009.06.25 -
nProtect 2009.1.8.0 2009.06.26 -
Panda 10.0.0.16 2009.06.26 -
PCTools 4.4.2.0 2009.06.26 -
Prevx 3.0 2009.06.26 -
Rising 21.35.43.00 2009.06.26 -
Sophos 4.43.0 2009.06.26 -
Sunbelt 3.2.1858.2 2009.06.25 -
Symantec 1.4.4.12 2009.06.26 -
TheHacker 6.3.4.3.354 2009.06.25 -
TrendMicro 8.950.0.1094 2009.06.26 -
VBA32 3.12.10.7 2009.06.26 -
ViRobot 2009.6.26.1806 2009.06.26 -
VirusBuster 4.6.5.0 2009.06.25 -
weitere Informationen
File size: 152576 bytes
MD5...: c4ac8eb823028748ad18ebc30146d2bf
SHA1..: cbf74745ca2beb7e4f03b00fb37c9a1fca6c9b4d
SHA256: a064016e4298bf57fa6a61a7f4ddfcd48106f604adec004e563500410b01a713
ssdeep: 3072:K4gmoAZplSUS5IIiqbukO/3msvJv7DDpNePhFpnVl+C2:3gmoADlSUSWIlb
uks3mGvnDpNohzeC

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19862
timedatestamp.....: 0x49c99156 (Wed Mar 25 02:05:10 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f17f 0x1f200 6.22 5d5566b61159024f2146339cd97a4fb0
.rdata 0x21000 0x35d0 0x3600 5.05 16a7b9547e7d7faaa6d29be9ef76ca45
.data 0x25000 0x516c 0xe00 2.38 e6b422e3c09a8edad2d6f871d9bf1580
.reloc 0x2b000 0x1874 0x1a00 4.83 4b03d16ec78644d7aa8769ebe0ae3dc5

( 2 imports )
> USER32.dll: CharToOemA, CharLowerW, CharLowerA, CharUpperW, CharUpperA
> KERNEL32.dll: TlsFree, VirtualProtect, GetTickCount, GetProcessTimes, GetCurrentProcess, MultiByteToWideChar, WideCharToMultiByte, GetLastError, GetSystemInfo, GlobalMemoryStatus, GetProcAddress, GetModuleHandleA, VirtualAlloc, VirtualFree, CloseHandle, WaitForSingleObject, CreateEventA, SetEvent, ResetEvent, CreateSemaphoreA, ReleaseSemaphore, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, ReadFile, GetStdHandle, WriteFile, CreateFileA, CreateFileW, AreFileApisANSI, GetFileSize, SetFilePointer, GetFileInformationByHandle, SetFileTime, SetEndOfFile, GetVersionExA, RtlUnwind, RaiseException, HeapAlloc, HeapFree, ExitThread, GetCurrentThreadId, CreateThread, GetCommandLineA, TlsAlloc, SetLastError, TlsSetValue, TlsGetValue, SetUnhandledExceptionFilter, HeapDestroy, HeapCreate, HeapReAlloc, IsBadWritePtr, ExitProcess, TerminateProcess, UnhandledExceptionFilter, InterlockedExchange, VirtualQuery, SetHandleCount, GetFileType, GetStartupInfoA, SetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, LoadLibraryA, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapSize

( 1 exports )
ExtraCompressionMain

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bitteschööööön!

Datei Uninstall_CDS.exe empfangen 2009.06.26 12:22:50 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.26 -
AhnLab-V3 5.0.0.2 2009.06.26 -
AntiVir 7.9.0.196 2009.06.26 -
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.25 -
Avast 4.8.1335.0 2009.06.25 -
AVG 8.5.0.339 2009.06.26 -
BitDefender 7.2 2009.06.26 -
CAT-QuickHeal 10.00 2009.06.26 -
ClamAV 0.94.1 2009.06.26 -
Comodo 1433 2009.06.26 -
DrWeb 5.0.0.12182 2009.06.26 -
eSafe 7.0.17.0 2009.06.25 -
eTrust-Vet 31.6.6581 2009.06.26 -
F-Prot 4.4.4.56 2009.06.25 -
F-Secure 8.0.14470.0 2009.06.26 -
Fortinet 3.117.0.0 2009.06.26 -
GData 19 2009.06.26 -
Ikarus T3.1.1.64.0 2009.06.26 -
Jiangmin 11.0.706 2009.06.26 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.26 -
McAfee 5657 2009.06.25 -
McAfee+Artemis 5657 2009.06.25 -
McAfee-GW-Edition 6.7.6 2009.06.26 -
Microsoft 1.4803 2009.06.26 -
NOD32 4191 2009.06.26 -
Norman 6.01.09 2009.06.25 -
nProtect 2009.1.8.0 2009.06.26 -
Panda 10.0.0.16 2009.06.26 -
PCTools 4.4.2.0 2009.06.26 -
Prevx 3.0 2009.06.26 -
Rising 21.35.43.00 2009.06.26 -
Sophos 4.43.0 2009.06.26 -
Sunbelt 3.2.1858.2 2009.06.25 -
Symantec 1.4.4.12 2009.06.26 -
TheHacker 6.3.4.3.354 2009.06.25 -
TrendMicro 8.950.0.1094 2009.06.26 -
VBA32 3.12.10.7 2009.06.26 -
ViRobot 2009.6.26.1806 2009.06.26 -
VirusBuster 4.6.5.0 2009.06.25 -
weitere Informationen
File size: 40960 bytes
MD5...: ab485c92592a3ee01572910e3cb26243
SHA1..: e745ce993bc829e045ff84fb61a2cf34221ccc9b
SHA256: 31356ad2c96230999e078f747b137a6bcb4105840abcc6b5cdecbee18530bce7
ssdeep: 384:vo1MXE2ixpTaXSsvdarH2w0/7mlyu3ml2T/NyCPqrhkocdoNmoKD7bKaoBKD
xs:vkuEnaXVd0Ww0/LYD0hkocy6BB

PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1dd0
timedatestamp.....: 0x404ff8b9 (Thu Mar 11 05:27:21 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47d4 0x5000 6.17 d2c028ec6e5dabed76fd60424bb693cc
.rdata 0x6000 0x998 0x1000 3.71 a9b275ffd086301fd91dfe940edf99ab
.data 0x7000 0x221c 0x1000 3.14 2bd2989cee70d2788ce5250e7524abc1
.rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553

( 3 imports )
> KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: SendMessageA, FindWindowA
> ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-


ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Das sieht soweit ganz gut aus. Gibt es noch Probleme am Rechner?

...puh, das erleichtert mich!

Außer, dass er insgesamt ziemlich lahm ist und mir ständig anzeigt, das auf C nicht genügend Speicher vorhanden ist, funktioniert alles ganz gut!
...dann bin ich jetzt also virenfrei?!
Super!
Tausend Dank!

Welche der Scanprogramme rätst du mir denn zu behalten? Oder soll ich alle löschen (Avenger, Prevx, Spybot etc?)
Nochmals vielen Dank,
Guagua

Gehe mal folgnde Punkte durch um deinen Rechner wieder ein bischen flott zu bekommen:

http://www.trojaner-board.de/71631-p...samer-tun.html


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Windows Autorun sollte deaktiviert werden.
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weiter Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Hallo undoreal!

Habe jetzt erst entdeckt, dass der Windows Mediaplayer und auch Realplayer nicht laufen, hängen sich immer auf (keine Rückmeldung...).

Gibt es evtl. einen Zusammenhang?
Lg.
Guagua

Könnte sein, muss aber nicht. Kann ich nicht sagen.

Ich würde ein System nach einer Infektion eh immer neuaufsetzen.

hmmm...und das geht jetzt nochmal wie genau?!
Grüße von Guagua

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein



Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!