Mir ist gerade ein Fehler aufgefallen EDIT: Funktion ging irgendwie auch nicht

http://bleikrone.de/log.txt
http://bleikrone.de/info.txt

Port 25, du versendest wie ein Weltmeister Spams. Trenne grundsätzlich die Verbindung zum Internet, falls du sie nicht zwingend brauchst, sonst wird es dir bald gehen wie dem hier => http://www.trojaner-board.de/66946-r...infiziert.html (Punkt 1)

1.) Deinstalliere

• ApexDC++
• AltBinz

Es tangiert mich nur peripher, dass du daran hängst. Wenn du mir beweisen kannst, dass du dich nicht mit Downloads über diese Programme infiziert hast, dann darfst du die behalten, ansonsten kommen die weg.

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

Alle R0, R1, O3, O9, O16 und O20-Einträge
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
         

=> Fix checked => Neustart

Warnung! Benutzung des Scriptes auf eigene Gefahr. Ich lösche alles, das ich nicht kenne. Falls nach dem Script keine Besserung eintritt => Neuinstallation

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
a58cadbc
ah66ppwl
MHN

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bfbbpmpa]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Google Update"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

Folder::
C:\Programme\Spybot - Search & Destroy
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Config.Msi
C:\Programme\altbinz
C:\rsit
C:\Dokumente und Einstellungen\bown\Lokale Einstellungen\Anwendungsdaten\Google\Update
C:\Programme\ApexDC++

File::
C:\WINDOWS\system32\Log.txt
C:\WINDOWS\system32\bfbbpmpa.dll
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-507921405-682003330-1003.job

DirLook::
C:\Programme\aaa
C:\Programme\QuickPar
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Okkey hab ich so gemacht, den Log stell ich wieder als Link da.

http://bleikrone.de/log.txt

Da ist er. Du hattest da noch einen zweiten RAT (SubSeven), von dem dich allerdings Spybot bewahrt hat (oder auch nicht). Dem Rechner wirst du nie wieder vertrauen können.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\vphou]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-

File::
c:\windows\system32\vphou.exe
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hui, aber warum werd ich ihm nie wieder trauen können?
Aber er ist mein bester Freund *haha* warn witz ^^

http://bleikrone.de/log.txt

Entweder das falsche Log oder das falsche Script.

ciao, andreas

p.s.: Das richtige findest du mit:

Start => Ausführen => c:\combofix.txt => OK.

Entschuldigung mein Fehler hier das Richtige

http://bleikrone.de/ComboFix.txt

1.) Was meldet NetLimiter?

2.) Deaktiviere den Wächter von NOD32.

3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

4.) Aktiviere den Wächter von NOD32.

5.) Erstelle ein Filelisting.

• Lade die Datei listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

6.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas