Wirklich aufgefallen ist es mir erst am Montag Abend.


Und nun ? Ansonsten läuft mein System relativ gut / stabil / schnell

Das Datum des Ordners ist der 16.5. gegen Mittag. Das könnte etwa passen. Die werden erst beim nächsten Neustart so richtig aktiv. Kannst du dich noch erinnern, was da passiert ist? Irgendwas installiert? Ich sehe etwa zur selben Zeit den Isobuster.

Hast du noch irgendwelche Logs mit Funden. Ich sehe da z.B. Smitfraudfix.

Nur weil dein AVP gerade kein Lärm macht und du meinst, alles sei in Ordnung, heißt das noch gar nichts.

ciao, andreas

Das müsste ein Game gewesen, habe mal geguckt in der Systemwiederherstellung. Dort steht das ich ein Spiel installiert habe was ich aus langeweile runter geladen hatte. Mit Altbinz
Ist mittlerweile aber wieder Deinstalliert.

Das ich über einen Router rein gehe weisst du ja wahrscheinlich schon.


Also heute habe ich z.B folgendes durchlaufen lassen.

Antivir - mehrmals - letzte mal mit 2 Warnungen
Malware - einmal ohne Fund
Windows Tool zum entfernen bösartiger Software - ohne Fund
Windows Live - OneCare Safety Scanner - kompletter durchlauf - ein paar Funde, wurden "angeblich" behoben
Combofix und den rest weisst du ja.



EDIT: Smitfraudfix hab ich gestern erst runter geladen.
Antivir habe nach dem 16.05. am 18.05. einen Suchlauf gestartet mit einem Fund TR.Alureon.BP.4.

Hier ein kleiner Ausschnitt aus diesem Bericht:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temp\tmp7C.tmp
[FUND] Ist das Trojanische Pferd TR/Alureon.BP.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a808793.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 18. Mai 2009 00:10
Benötigte Zeit: 20:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5433 Verzeichnisse wurden überprüft
192362 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
192359 Dateien ohne Befall
2120 Archive wurden durchsucht
6 Warnungen
1 Hinweise

Zitat:

was ich aus langeweile runter geladen hatte.

Hast du noch den Link? Dann schicke ihn mir als PN zu.

Dann poste alle Malwarebytes-Logs mit Funden. Ich brauche einen Anhaltspunkt.

Bin jetzt müde, gute Nacht, andreas

Habe nur Berichte von Antivir.

vom 18.05. - 21.05.
Insgesamt 9 Stück.

http://www.materialordner.de/8EbaaylBi4dS3wsrkf8ouC30PYVdzC8.html

http://www.materialordner.de/3E843jvadyS6Vm5ejhyMamqY7tYvWWo.html

http://www.materialordner.de/VgL1YzEFK4Klqas7JsCd4dwKhLq8EMT.html

http://www.materialordner.de/hIbXITqGylJeBSi2mmwpPS45sOJmeUv.html

http://www.materialordner.de/JyuDDbw5v1OhOwuPX7isYm00l6Yt9r2.html

http://www.materialordner.de/Y1WCwpFXMxx1YErETrT2BR40MFcV4dY.html

http://www.materialordner.de/wKv0LRV7HxdkTxZEu7XuVjJkewEdMwz.html

http://www.materialordner.de/mRpZw9V4wYddk2IFZvZIu9hEcD8ffuFt.html

http://www.materialordner.de/Ys2aILxPdEo6y6vJRDEtkicDvdGs3JJR.html

Der letztere Bericht hat 32 Funde, die anderen immer 1 - 2.


Hoffe kann damit weiterhelfen.

1.) Poste bitte den Inhalte von

Code: Alles auswählenAufklappen

ATTFilter

c:\rapport.txt
         

2.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\PEV.exe
         

bitte bei uns hoch: http://www.trojaner-board.de/54791-a...ner-board.html

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-

Folder::
c:\Config.Msi
C:\Programme\Online-Dienste
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19Rgeit2iTqrf7M2Ql65

Files::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\perfh009.dat     
c:\windows\system32\perfh009.dat     
c:\avenger.txt
c:\rapport.txt
c:\RHDSetup.log
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\jupdate-1.6.0_13-b03.log
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\system32\SET50.tmp
C:\WINDOWS\system32\SET52.tmp
C:\WINDOWS\system32\SET5E.tmp
C:\WINDOWS\system32\SET67.tmp
C:\WINDOWS\system32\SET68.tmp
C:\WINDOWS\system32\SET6C.tmp
C:\WINDOWS\system32\jupdate-1.6.0_11-b03.log
C:\WINDOWS\system32\lvcoinst.log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\TZLog.log
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\002682_.tmp
C:\WINDOWS\SET8.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET3.tmp

DirLook::
C:\WINDOWS\MRLH
C:\Programme\IsoBuster
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier die Rapport.txt

Datei ist hochgeladen. c:\windows\pev.exe

Zitat:

SmitFraudFix v2.416

Scan done at 1:13:27,89, 21.05.2009
Run from C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 activate.adobe.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{BA7A1553-D34F-49F7-9079-EF75764E8A62}: DhcpNameServer=213.168.112.60 194.8.194.60
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=213.168.112.60 194.8.194.60


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End